現在越來越多的專案使用的前後端分離的模式進行開發,後端開發人員使用API介面傳遞資料給到前端開發進行處理展示,在一些比較重要的修改資料介面,涉及金錢,使用者資訊等修改的介面如果不做防護驗證,經常容易被人惡意刷介面,導致巨大的損失。
這裡我們引入業內比較通用的簽名驗證來對介面進行引數加密,有以下優勢。
請求的唯一性:計算出的簽名是唯一的,可以用來驗證。
引數的可變性:引數中包含時間戳引數,這就保證每次的請求計算出得簽名都是不一樣的。
請求的時效:由於請求中帶有當前發起請求的時間戳引數,伺服器端可以對時間戳進行驗證,過濾超出時效的請求。
安全性:即使請求被人惡意抓包,對方惡意篡改其中的引數,那麼簽名都是錯誤的,引數無法修改。
1. 對map型別(即一組鍵值對)的待簽名資料根據鍵的大小進行排序。map中各引數按字母順序排序,如果第一個字母相同,按第二個字母排序,依次類推。例如
{
"timestamp": "2017-06-08 09:38:00",
"format": "xml",
"app_id": "aabbc",
"cp_extend_info": "",
"sign_type": "HMAC-SHA1",
"sign": "abc"
}那麼,排序後變成
{
"app_id": "aabbc",
"cp_extend_info": "",
"format": "xml",
"sign_type": "HMAC-SHA1",
"timestamp": "2017-06-08 09:38:00"
}注意:如果map中包含簽名的引數(sign)需要過濾該引數的鍵值不參與簽名,沒有值的引數請不要參與簽名
2. 對排序後的map進行序列化處理成待簽名字串,拼接後的待簽名字串為
app_id=aabbc&format=xml&sign_type=HMAC-SHA1×tamp=2017-06-08 09:38:00
3. 根據HMAC-SHA1演算法使用金鑰提取待簽名字串的摘要(hash)簽名並進行base64_encode編碼(便於顯性傳輸和對比),假設簽名金鑰為 test ,則提取出的摘要簽名並進行base64_encode的值為
JqoEqPIVVor0eyRHMYiZftsycVo=
注意:由於有些資料根據HTTP協定需求,在網路傳輸過程中需要進行URLencoding,這樣接收方才可以接收到正確的引數,但如果這個引數參與簽名,那麼待簽名字串必須是字串原值而非URLencoding 的值。
PHP範例
/**
* 使用金鑰生成HMAC-Sha1簽名
* @param array $params 請求引數
* @param string $signKey 簽名金鑰
* @return string
*/
function hmacSha1Sign($params,$signKey)
{
ksort($params);
$paramString = '';
foreach ($params as $key => $value) {
if (is_null($value) || $value=='' || $key == 'sign') {
continue;
}
$paramString .= $key.'='.$value.'&';
}
$paramString = substr($paramString,0,-1);
$sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));
return $sign;
}以上就是日常開發中常用的API驗證簽名方式,很簡單又非常使用,歡迎關注獲取更多的教學。
以上就是API常用簽名驗證方法(PHP實現)的詳細內容,更多請關注TW511.COM其它相關文章!