API常用簽名驗(yàn)證方法(PHP實(shí)現(xiàn))
來源:安安杰尼
發(fā)布時(shí)間:2020-05-08 10:09:01
閱讀量:1074
使用場(chǎng)景
現(xiàn)在越來越多的項(xiàng)目使用的前后端分離的模式進(jìn)行開發(fā),后端開發(fā)人員使用API接口傳遞數(shù)據(jù)給到前端開發(fā)進(jìn)行處理展示����,在一些比較重要的修改數(shù)據(jù)接口,涉及金錢��,用戶信息等修改的接口如果不做防護(hù)驗(yàn)證����,經(jīng)常容易被人惡意刷接口,導(dǎo)致巨大的損失��。
API簽名驗(yàn)證
這里我們引入業(yè)內(nèi)比較通用的簽名驗(yàn)證來對(duì)接口進(jìn)行參數(shù)加密�����,有以下優(yōu)勢(shì)�����。
請(qǐng)求的唯一性:計(jì)算出的簽名是唯一的,可以用來驗(yàn)證��。
參數(shù)的可變性:參數(shù)中包含時(shí)間戳參數(shù)���,這就保證每次的請(qǐng)求計(jì)算出得簽名都是不一樣的���。
請(qǐng)求的時(shí)效:由于請(qǐng)求中帶有當(dāng)前發(fā)起請(qǐng)求的時(shí)間戳參數(shù),服務(wù)端可以對(duì)時(shí)間戳進(jìn)行驗(yàn)證�,過濾超出時(shí)效的請(qǐng)求。
安全性:即使請(qǐng)求被人惡意抓包�,對(duì)方惡意篡改其中的參數(shù),那么簽名都是錯(cuò)誤的�����,參數(shù)無法修改�。
實(shí)踐出真理
1. 對(duì)map類型(即一組鍵值對(duì))的待簽名數(shù)據(jù)根據(jù)鍵的大小進(jìn)行排序。map中各參數(shù)按字母順序排序,如果第一個(gè)字母相同,按第二個(gè)字母排序,依次類推����。例如
1 2 3 4 5 6 7 8 | {
"timestamp": "2017-06-08 09:38:00",
"format": "xml",
"app_id": "aabbc",
"cp_extend_info": "",
"sign_type": "HMAC-SHA1",
"sign": "abc"
}
|
那么���,排序后變成
1 2 3 4 5 6 7 | {
"app_id": "aabbc",
"cp_extend_info": "",
"format": "xml",
"sign_type": "HMAC-SHA1",
"timestamp": "2017-06-08 09:38:00"
}
|
注意:如果map中包含簽名的參數(shù)(sign)需要過濾該參數(shù)的鍵值不參與簽名�����,沒有值的參數(shù)請(qǐng)不要參與簽名
2. 對(duì)排序后的map進(jìn)行序列化處理成待簽名字符串����,拼接后的待簽名字符串為
1 | app_id=aabbc&format=xml&sign_type=HMAC-SHA1×tamp=2017-06-08 09:38:00
|
3. 根據(jù)HMAC-SHA1算法使用密鑰提取待簽名字符串的摘要(hash)簽名并進(jìn)行base64_encode編碼(便于顯性傳輸和對(duì)比),假設(shè)簽名密鑰為 test ���,則提取出的摘要簽名并進(jìn)行base64_encode的值為
1 | JqoEqPIVVor0eyRHMYiZftsycVo=
|
注意:由于有些數(shù)據(jù)根據(jù)HTTP協(xié)議需求,在網(wǎng)絡(luò)傳輸過程中需要進(jìn)行URLencoding,這樣接收方才可以接收到正確的參數(shù),但如果這個(gè)參數(shù)參與簽名,那么待簽名字符串必須是字符串原值而非URLencoding 的值���。
代碼實(shí)踐
PHP示例
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
function hmacSha1Sign($params,$signKey)
{
ksort($params);
$paramString = '';
foreach ($params as $key => $value) {
if (is_null($value) || $value=='' || $key == 'sign') {
continue;
}
$paramString .= $key.'='.$value.'&';
}
$paramString = substr($paramString,0,-1);
$sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));
return $sign;
}
|
13450931319
微信登錄
QQ登錄
微博登錄
售前咨詢
