API接口认证&加密笔记
API合作商Key 生成秘钥KEY
秘钥是用来完成加密,解密的
API合作商KEY(生成秘钥): DesKey
对称加密:加解密是同一个密钥,速度快,数据接收方需要公布其私钥给数据传输方,安全性完全依赖于该密钥。如AES,3DES,DES等,适合做大量数据或数据文件的加解密。
非对称加密:加密用公钥,解密用私钥。公钥和私钥是成对的(可借助工具生成,如openssl等),即用公钥加密的数据,一定能用其对应的私钥解密,能用私钥解密的数据,一定是其对应的公钥加密。对大量数据或数据文件加解密时,效率较低。如RSA,Rabin等,数据接收方需公布其公钥给数据传输方,私钥自己保留,安全性更高。
API合作商签名(加密参数) : Md5Key
参考: https://blog.csdn.net/hi_robert/article/details/74294495
数字签名
作用:保证信息传输的完整性、发送者的身份验证、防止交易中的抵赖发生。
数字签名是为了做一个客户合法性和数据完整性的校验,防止流氓软件对数据传输进行拦截,对数据篡改后再传输。一般是通过hash函数计算出一个固定长度的哈希串(如md5,一般是根据授权的用户信息和选取数据体报文的摘要作为计算规则),加密后与数据体密文一起传输给接收方,接收方在对数据解密后,以相同的规则进行hash串的计算,如果两者一样,则证明该次请求是合法的。
关键字: 接口验证 秘钥
请求方,接口提供方
- 请求参数是否被篡改
- 请求来源是否合法
- 请求是否具有唯一性
A. 参数签名方式
参考: https://www.jianshu.com/p/d47da77b6419
在编程中:一个幂等操作的特点是: 其任意多次执行所产生的影响均与一次执行的影响相同。
AES 是一种对称加密算法
plaintext 明文 , chipertext 密文
接口认证签名、加密、解密
请求参数的键按自然的顺序排序
app_key 应用键 (唯一)
app_secret 应用秘钥(唯一)
- _t 请求的时间,在一分钟之内合法,超过不合法
客服端与服务端时间得统一,请求且响应的参数值也得
用户登录凭证 token
应用凭证: app_token
code ===0 成功,其它失败
msg
data
access_token 生成实例
应用ID
应用key
providerid 1000000010
privatekey 0B1FC078-A244-4FAD-BECC-6255DDDE5236
四.接口参数key的生成规则
1.接口参数key的生成规则如下:
调用接口所需要的key定义为key=md5(“userid={1}&providerid={2}&privatekey={3}”)
其中{1}为要查询或操作的id号,一般为接口的第一个参数,如接口UserLogin为用户编号userid, {2}为长宽分配给调用方的id, {3}为长宽分配给调用方的key,id及key值参见附录1.
2.测试案例:
key=md5(“010010000101&providerid=1000000010&privatekey=0B1FC078-A244-4FAD-BECC-6255DDDE5236”)
key=“68ABC26E8C5FE2F7A18C511522C93AF9”
还可以加随机字符串来加盐
https://www.cnblogs.com/xiaochangwei/p/api.html
无状态: 请求需要参数验证,响应也是需要参数验证的吧,得确定参数没有被修改
对请求的合法性进行校验
对请求的数据进行校验
signature 签名,署名,信号
timestamp 60s以内有效
_t
private_key 秘钥
请求和响应都需要加一个签名参数
微信jsAPI:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_2
设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。
特别注意以下重要规则:
◆ 参数名ASCII码从小到大排序(字典序);
◆ 如果参数的值为空不参与签名;
◆ 参数名区分大小写;
◆ 验证调用返回或微信主动通知签名时,传送的sign参数不参与签名,将生成的签名与该sign值作校验。
◆ 微信接口可能增加字段,验证签名时必须支持增加的扩展字段
第二步,在stringA最后拼接上key得到stringSignTemp字符串,并对stringSignTemp进行MD5运算,再将得到的字符串所有字符转换为大写,得到sign值signValue。
腾讯云: https://cloud.tencent.com/document/api/213/6984
SecretId:用于标识 API 调用者身份;
SecretKey:用于加密签名字符串和服务器端验证签名字符串的密钥。
HmacSHA1
$secretKey = 'Gu5t9xGARNpq86cd98joQYCN3Cozk1qA';
$srcStr = 'GETcvm.api.qcloud.com/v2/index.php?Action=DescribeInstances&InstanceIds.0=ins-09dx96dg&Nonce=11886&Region=ap-guangzhou&SecretId=AKIDz8krbsJ5yKBZQpn74WFkmLPx3gnPhESA&SignatureMethod=HmacSHA1&Timestamp=1465185768';
$signStr = base64_encode(hash_hmac('sha1', $srcStr, $secretKey, true));
echo $signStr;
随机数,为了保证签名不可预测
微信支付API接口协议中包含字段nonce_str,主要保证签名不可预测。我们推荐生成随机数算法如下:调用随机数函数生成,将得到的值转换为字符串。
值为null,签名参数不参与签名计算
参数值 ===null 不参与签名,为什么了?
响应data参数也不参与签名
共享钱包:
MD5(agentName+API key + 随机字符串) 代理名称+私钥+随机字符串
最好加上时间戳吧
签名算法
sha1withrsa sha256withrsa
RSA2是在原来SHA1WithRSA签名算法的基础上,新增了支持SHA256WithRSA的签名算法
RSA2 OPENSSL_ALGO_SHA256
RSA OPENSSL_ALGO_SHA1
https://blog.csdn.net/u014377963/article/details/71775171
if("RSA2"==$this->sign_type){
openssl_sign($data, $signature, $private_id, OPENSSL_ALGO_SHA256 );
}else{
openssl_sign($data, $signature, $private_id, OPENSSL_ALGO_SHA1 );
}