PHP开发api接口安全验证
2021-01-18 22:17
标签:info png new timestamp 参考 var_dump 注意 重要 self php的api接口 在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。 验证原理 示意图 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 ● 时间戳:当前时间 ● 随机数:随机生成的随机数 ● 口令:前后台开发时,一个双方都知道的标识,相当于暗号 ● 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。 算法规则 在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,看你怎么高兴怎么来。 我这个算法规则是 ● 时间戳,随机数,口令按照首字母大小写顺序排序 ● 然后拼接成字符串 ● 进行sha1加密 ● 再进行MD5加密 ● 转换成大写。 前台 这里我并没有实际的前台,直接使用一个PHP文件代替前台,然后通过CURL模拟GET请求。 源代码 服务器端 接受前台数据进行验证 源代码 结果 参考:https://mp.weixin.qq.com/s/AjatH-dinmTfqn3nURbWEA(注意URL传参格式,踩过坑) PHP开发api接口安全验证 标签:info png new timestamp 参考 var_dump 注意 重要 self 原文地址:https://www.cnblogs.com/clubs/p/12172407.html
1 php
2
3 class ClientController
4 {
5 const TOKEN = ‘API‘;
6
7 //模拟前台请求服务器api接口
8 public function getDataFromServer()
9 {
10 //时间戳
11 $timeStamp = time();
12 //随机数
13 $randomStr = $this->createNonceStr();
14 //生成签名
15 $signature = $this->arithmetic($timeStamp, $randomStr);
16 //url地址
17 $url = "http://test.vc/server.php/?t={$timeStamp}&r={$randomStr}&s={$signature}";
18 $result = $this->httpGet($url);
19 var_dump($result);
20 }
21
22 //curl模拟get请求。
23 private function httpGet($url)
24 {
25 $curl = curl_init();
26 //需要请求的是哪个地址
27 curl_setopt($curl, CURLOPT_URL, $url);
28 //表示把请求的数据已文件流的方式输出到变量中
29 curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
30 $result = curl_exec($curl);
31 curl_close($curl);
32 return $result;
33 }
34
35 //随机生成字符串
36 private function createNonceStr($length = 8)
37 {
38 $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
39 $str = "";
40 for ($i = 0; $i $length; $i++) {
41 $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
42 }
43 return "z" . $str;
44 }
45
46 /**
47 * @param $timeStamp 时间戳
48 * @param $randomStr 随机字符串
49 * @return string 返回签名
50 */
51 private function arithmetic($timeStamp, $randomStr)
52 {
53 $arr[‘timeStamp‘] = $timeStamp;
54 $arr[‘randomStr‘] = $randomStr;
55 $arr[‘token‘] = self::TOKEN;
56 //按照首字母大小写顺序排序
57 sort($arr, SORT_STRING);
58 //拼接成字符串
59 $str = implode($arr);
60 //进行加密
61 $signature = sha1($str);
62 $signature = md5($signature);
63 //转换成大写
64 $signature = strtoupper($signature);
65 return $signature;
66 }
67 }
68
69 $obj = new ClientController();
70 $obj->getDataFromServer();
1 php
2
3 class Server
4 {
5 const TOKEN = ‘API‘;
6
7 //响应前台的请求
8 public function respond()
9 {
10 //验证身份
11 $timeStamp = $_GET[‘t‘];
12 $randomStr = $_GET[‘r‘];
13 $signature = $_GET[‘s‘];
14 $str = $this->arithmetic($timeStamp, $randomStr);
15 if ($str != $signature) {
16 echo "-1";
17 exit;
18 }
19 //模拟数据
20 $arr[‘name‘] = ‘api‘;
21 $arr[‘age‘] = 15;
22 $arr[‘address‘] = ‘zz‘;
23 $arr[‘ip‘] = "192.168.0.1";
24 echo json_encode($arr);
25 }
26
27 /**
28 * @param $timeStamp 时间戳
29 * @param $randomStr 随机字符串
30 * @return string 返回签名
31 */
32 public function arithmetic($timeStamp, $randomStr)
33 {
34 $arr[‘timeStamp‘] = $timeStamp;
35 $arr[‘randomStr‘] = $randomStr;
36 $arr[‘token‘] = self::TOKEN;
37 //按照首字母大小写顺序排序
38 sort($arr, SORT_STRING);
39 //拼接成字符串
40 $str = implode($arr);
41 //进行加密
42 $signature = sha1($str);
43 $signature = md5($signature);
44 //转换成大写
45 $signature = strtoupper($signature);
46 return $signature;
47 }
48 }
49
50 $obj = new Server();
51 return $obj->respond();
上一篇:WinSCP
下一篇:C# WPF 时钟动画(1/2)