PHP开发API接口签名验证
在对外提供接口时,我们一定要注意到数据的安全问题。如果可以建议使用HTTPS,但是在接口安全方面,还是建议大家对接口数据进行数据签名,防止中途数据被串改。签名的主要思想如下:
1、首先要定义如下三个字段:
当前时间戳:防止接口一直被刷
签名字段:主要是服务端用来进行对比数据是否一致
签名场景:便于扩展,如果不想使用场景,可以用公共的签名
必须将当前时间戳和签名场景参数追加到传递进来的参数中。
2、对所有参数按照键进行升序排列
3、将第二步排列好的参数按照key=value&key=value进行拼接
4、将第三步拼接好的参数与秘钥拼接
5、将第四步的字符串进行md5进行加密,生成对应的签名字符串
6、将第五步的签名数据追加到传递进来的参数中,然后返回出去
7、将第六步的数据来进行签名对比
代码如下(勿喷代码质量,主要是思想,谢谢):
<?php
/**
* 数据签名类
*/
class DataSign
{
/**
* 是否启用验证
* @var
*/
private $_enable;
/**
* 签名秘钥
* @var string
*/
private $_secrete;
/**
* 过期时间 空字符串,null、0、false,[],都表示不验证时间,单位为秒
* @var int
*/
private $_expireTime;
/**
* 签名场景
* @var string
*/
private $_signScene;
/**
* 签名场景KEY,需要根据自己的使用更改成相应字段
* @var string
*/
const SIGN_SCENE_KEY = 'custom_sign_scene';
/**
* 签名中的时间KEY,需要根据自己的使用更改成相应字段
* @var string
*/
const TIMESTAMP_KEY = 'custom_sign_timestamp';
/**
* 签名中的签名KEY,需要根据自己的使用更改成相应字段
* @var string
*/
const SIGN_KEY = 'custom_sign_key';
/**
* 配置信息,这里主要定义一个全局的配置,然后可以对单独场景进行定义处理,方便后续的扩展
*
* @var array
*/
private $config = [
//是否启用验证
'enable' => true,
//全局公共秘钥
'secret' => 'wPPdQsM6x4#M8QboUw%lSMy&p2ckvWOLOJuuX7qVhlARnBRGSB#u8GCoChW&@g@s',
//全局过期时间
'expire_time' => 0,//签名过期时间,空字符串,null、0、false,[],都表示不验证时间
'scene' => [//使用场景
//队列签名
'api' => [
'enable' => false,
'secret' => '2%Gw%bzSOy7tYzht*ayPju1K9Mk#XUilZyULTco3lRsHgttQv7tD1AvmAXu@CFXS',
'expire_time' => 3600,
],
],
];
/**
* DataSignService constructor.
* @param string $scene 场景
* @throws Exception
*/
public function __construct($scene = '')
{
$scene = $scene ? strtolower($scene) : '';
if ($scene && isset($this->config['scene'][$scene]['secret']) && isset($this->config['scene'][$scene]['expire_time'])) {
$this->_secrete = $this->config['scene'][$scene]['secret'];
$this->_expireTime = $this->config['scene'][$scene]['expire_time'];
$this->_enable = $this->config['scene'][$scene]['enable'];
$this->_signScene = $scene;
} else {
$this->_secrete = $this->config['secret'];
$this->_expireTime = $this->config['expire_time'];
$this->_enable = $this->config['enable'];
}
if (!is_int($this->_expireTime)) {
$this->throwException('过期时间必须是整数');
}
if ($this->_expireTime < 0) {
$this->throwException('过期时间必须是大于0的正整数');
}
}
/**
* 获取签名数据
* @param $data
* @return string
*/
public function getSign($data)
{
//添加当前时间到数据中
$data[self::TIMESTAMP_KEY] = strval(time());
//场景处理
if ($this->_signScene) {
$data[self::SIGN_SCENE_KEY] = $this->_signScene;
}
//获取签名,添加签名数据到数据中
$data[self::SIGN_KEY] = $this->sign($data);
//返回组装后的数据
return $data;
}
/**
* 验证签名数据
* @param $data
* @return bool
* @throws Exception
*/
public function checkSign($data)
{
//如果不验证,直接返回成功
if (!$this->_enable) {
return true;
}
//验证两个字段是否存在
if (!isset($data[self::SIGN_KEY])) {
$this->throwException('数据缺少sign参数');
}
if ($this->_expireTime && !isset($data[self::TIMESTAMP_KEY])) {
$this->throwException('数据缺少timestamp参数');
}
//获取时间并判断时间是否过期
if ($this->_expireTime && time() - $data[self::TIMESTAMP_KEY] > $this->_expireTime) {
$this->throwException('数据已过期');
}
//获取签名,并取消数据中的签名字段
$sourceSign = $data[self::SIGN_KEY];
unset($data[self::SIGN_KEY]);
$sign = $this->sign($data);
if ($sourceSign != $sign) {
$this->addSignErrorLog($data, $sourceSign, $sign);
$this->throwException('签名失败');
}
return true;
}
/**
* 签名处理
* @param $data
* @return string
*/
private function sign($data)
{
ksort($data);
$paramStr = http_build_query($data);
return md5($paramStr . $this->_secrete);
}
/**
* 签名错误日志
* @param $data
* @param $sourceSign
* @param $sign
*/
private function addSignErrorLog($data, $sourceSign, $sign)
{
//写入日志信息 TODO 可以记录到文件或数据库中
}
/**
* @param $message
* @throws Exception
*/
private function throwException($message)
{
throw new Exception($message);
}
}
$data = ['name' => 'zhang', 'age' => 10];
/**
* 使用全局
*/
$result = (new DataSign())->getSign($data);
print_r($result);
$result = (new DataSign())->checkSign($result);
print_r($result);
/**
* 使用单独场景
*/
$result = (new DataSign('api'))->getSign($data);
print_r($result);
$result = (new DataSign('api'))->checkSign($result);
print_r($result);
每日一句
-
万种思量,多方开解,只恁寂寞厌厌地,系我一生心,负你千行泪。
——柳永
今日排行
- 数轴上两点间的距离公式及中点公式
数轴上两点间的距离公式及中点公式 - 嗨!Tauri
Tauri 是一个框架,用于为所有主要桌面平台构建小巧、快速的二进制文件。开发人员可以集成任何可编译为 HTML、JS 和 CSS 的前端框架,以构建他们的用户界面。应用程序的后端是一个基于 Rust 的二进制文件,带有一个前端可以与之交互的 API。
Tauri 应用程序的用户界面目前在 macOS 和 Windows 上利用 tao 作为窗口处理库,在 Linux 上通过 Tauri 团队孵化和维护的 WRY 利用 WebKit、Windows 上的 WebView2 和 Linux 上的 WebKitGTK 创建一个统一的系统 webview(和其他好东西,如菜单和任务栏)接口。 - Flutter开发windows桌面应用处理WebView相关问题
Flutter开发windows桌面应用处理WebView相关问题 - 圆锥最短路径问题
解决圆锥侧面最短路径问题,主要就是将侧面进行展开,转化为展开面两点连线的最短长度来进行解决。 - yarn、npm配置阿里云国内镜像(新镜像)
nodejs中使用npm和yarn,使用最新阿里云镜像 aliyun mirror,网上很多还是文章用的是下面这个地址~~yarn config set registry https://registry.npm.taobao.org~~
点击排行
- VSCode插件 - 快速生成表格并格式化
快速生成表格 - Electron打包错误“Error: Application entry file ..”解决方案
打包出现如下错误:Error: Application entry file "dist\electron\main.js" in the "D:\gui\demo2\build\win-unpacked\resources\app.asar" does not exist. Seems like a wrong configuration. - Electron页面跳转、浏览器打开链接和打开新窗口
Electron页面跳转、浏览器打开链接和打开新窗口
- Docker编译出现:temporary error (try again later)
Docker编译镜像出现:fetch http://dl-cdn.alpinelinux.org/alpine/v3.12/main/x86_64/APKINDEX.tar.gz
ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.12/main: temporary error (try again later)
WARNING: Ignoring APKINDEX.2c4ac24e.tar.gz: No such file or directory问题 - mac git用户名和密码修改
在Mac电脑中,如何对Git的用户名和密码进行修改呢?起初不懂Mac,所以整了很久,本文将记录如何对这个进行操作,以便后期使用。 - Git保存和清除用户名、密码
在使用Git的过程中,不想每次都输入用户名和密码去拉取代码,所以就需要保存这些信息,那么既然有保存了,就必须有清除功能。