服务器端数据合法性验证:签名sign和口令token原理
有时候,你也许会想:
我写的接口,那别人要是知道url,并且知道其需要的数据结构和逻辑,那不是都可以访问了?
甚至是,客户点传递过来的数据,是不是被恶意修改了?
这时,我们可能需要“验证”一下。比如:登录验证,只有登录以后才能来到后台。
这里给出几种【验证】方式,大神勿喷:
1:sign验证法:
这种验证方式,一般过程是:
第一:给你一个【私钥】[app_secret] 和[app_id]
第二:你要提交的所有数据都需要提供sign签名。
第三:sign签名的获取方式。
例如:给用户id为99的人增加100积分:
1 $app_id = 'Te001'; 2 $secret = 'e10adc3949ba59abbe56e057f20f883e'; 3 4 $url = 'http://127.0.0.1/test/apiDataCheck'; 5 $post = array( 6 'user_id' => 99, 7 'point' => 100 8 ); 9 10 11 function addSign($url, $data){ 12 $str = ''; 13 $data['app_id'] = $app_id; 14 ksort($data); 15 foreach($data as $k => $v){ 16 $str .= $k.'='.$v.'&'; 17 } 18 $str = substring($str, 0, -1); 19 $str = $url.'?'.$str.$secret; 20 $data['sign'] = md5($str); 21 return $data; 22 } 23 24 curl_post($url, addSign($url,$post));
addSign 就是一个sign的获取方式:所有数据加上app_id,字段顺序排序,以get参数方式连接。然后url+?+get参数+私钥,进行md5加密获取sign签名。进而进行接口调用。
第四:服务器端验证数据合法性。
1 $url = 'http://127.0.0.1/test/apiDataCheck'; 2 $app_secret = 'select app_secret from app_id_secret where app_id='.intval($_POST['app_id']); 3 4 function checkSign($url, $post){ 5 $str = ''; 6 $sign = $post['sign']; 7 unset($post['sign']); 8 foreach($post as $k => $v){ 9 $str .= $k.'='.$v.'&'; 10 } 11 $str = substring($str, 0, -1); 12 $str = $url.'?'.$str.$app_secret; 13 return $sign == md5($str); 14 } 15 16 if($app_secret && checkSign($url, $_POST)){ 17 $res = 'update user_point set point=point+100 where user_id='.$_POST['user_id']; 18 }
接口在操作数据之前,首先按照原本既定的sign生成方式,验证sign合法性,进而进行下一步操作。
很多第三方的接口都存在这样的一个签名验证,如:美团外卖和微信等。但其原理大同小异。
2:token法:
token法的步骤大概是:
1:给你一个app_id和app_secret。
2:提供一个利用app_id和app_secret获取token的接口。
3:token的时效性设定。
4:获取token接口的使用次数限制。
1:获取token $app_id = 'Token001'; $app_secret = 'e10adc3949ba59abbe56e057f20f883e'; $url = 'http://127.0.0.1/token/getToken?app_id='.$app_ip.'&app_secret='.$app_secret; $token = curl_get($url); // $token = array( // 'token' => 'e10adc3949ba59abbe56e057f20f883e', // 'expire' => '1444444400' // ); session('token', $token['token']); session('expire', $token['expire']); 2:接口调用 $url = 'http://127.0.0.1/token/getUserInfo'; $post['user_id'] = 1; if(time() < session('expire')){ $post['user_id'] = 1; $post['token'] = session('token'); }else{ 步骤1: } $userInfo = curl_post($post);
5:服务器验证token:
1:生成token并返回 define('EXPIRE', 3600); $post = array( $app_id = 'Token001'; $app_secret = 'e10adc3949ba59abbe56e057f20f883e'; ); $tcount = 'select count(*) from app_token where app_id='.$post['app_id']; if($tcount >= 50){ // app_id 获取token次数太多 }else{ $token['token'] = md5($post['app_id'].time().$post['app_secret'].EXPIRE); $token['expire'] = time()+EXPIRE; $insert = 'insert into app_token value(null, '.$post['app_id'].', '.$token['token'].');'; } 2:接口验证token $post = array( $user_id = 1; $token = 'e10adc3949ba59abbe56e057f20f883e'; ); $token = 'select token from app_token where app_id='.$post['app_id'].' order by id desc limit 1'; if($token == $post['token']){ return 'select * from user where user_id='.$post['user_id']; }else{ // token 错误 }
token的生成办法可以自由设定,token的获取次数和过期时间都可以加进去。上例只是说明下原理和思路。
作者:Wicub
免责声明:文章、笔记等仅供分享、探讨、参考等学习之用,因此造成的任何后果概不负责。(如有错误、疏忽等问题,欢迎指正、讨论,谢谢)
本文版权归作者和博客园共有,欢迎转载,但请务必在文章页面明显位置给出原文连接,谢谢配合。
