PHP開發api接口安全驗證操作的示例分析
這篇文章將為大家詳細講解有關PHP開發api接口安全驗證操作的示例分析�����,小編覺得挺實用的��,因此分享給大家做個參考�����,希望大家閱讀完這篇文章后可以有所收獲�����。
本文實例講述了PHP開發api接口安全驗證操作.分享給大家供大家參考���,具體如下:
php的api接口在PHP的開發工作中���,對API接口開發不會陌生�����,后端人員寫好接口后���,前臺就可以通過鏈接獲取接口提供的數據���,而返回的數據一般分為兩種情況���,xml和json, 在這個過程中��,服務器并不知道��,請求的來源是什么���,有可能是別人非法調用我們的接口��,獲取數據���,因此就要使用安全驗證來屏蔽某些調用���。
驗證原理示意圖
原理
從圖中可以看得很清楚�,前臺想要調用接口���,需要使用幾個參數生成簽名���。
● 時間戳:當前時間
● 隨機數:隨機生成的隨機數
● 口令:前后臺開發時��,一個雙方都知道的標識�,相當于暗號
● 算法規則:商定好的運算規則����,上面三個參數可以利用算法規則生成一個簽名��。
前臺生成一個簽名���,當需要訪問接口的時候���,把時間戳���,隨機數���,簽名三個參數通過URL傳遞到后臺����。后臺拿到時間戳��,隨機數后��,通過一樣的算法規則計算出簽名�����,然后和傳遞過來的簽名進行對比����,一樣的話�,返回數據����。
算法規則
在前后臺交互中���,算法規則是非常重要的����,前后臺都要通過算法規則計算出簽名�����,至于規則怎么制定���,前后端協商確定��。
我這個算法規則是
● 時間戳�,隨機數�,口令按照首字母大小寫順序排序
● 然后拼接成字符串
● 進行sha1加密
● 再進行MD5加密
● 轉換成大寫����。
前臺
這里我并沒有實際的前臺����,直接使用一個PHP文件代替前臺����,然后通過CURL模擬GET請求�����。我使用的是TP框架���,URL格式是pathinfo格式����。
源代碼
namespace app\service\controller;
use think\controller;
class CheckUrl extends Controller{
const TOKEN = 'API'; // 前后端統一的口令
//響應前臺的請求
public function respond(){
//驗證身份
$timeStamp = $_GET['t']; // 時間戳
$randomStr = $_GET['r']; // 隨機字符串
$signature = $_GET['s']; //簽名
$str = $this -> arithmetic($timeStamp, $randomStr);
if($str != $signature){
return ['status' => 0, 'msg' => '驗證失敗', 'data' => []];
}
}
/**
* @param $timeStamp 時間戳
* @param $randomStr 隨機字符串
* @return string 返回簽名
*/
public function arithmetic($timeStamp, $randomStr){
$arr = [
'timeStamp' => $timeStamp,
'randomStr' => $randomStr,
'token' => self::TOKEN
];
//按照首字母大小寫順序排序
sort($arr,SORT_STRING);
//拼接成字符串
$str = implode($arr);
//進行加密
$signature = sha1($str);
$signature = md5($signature);
//轉換成大寫
$signature = strtoupper($signature);
return $signature;
}
}這種方法只是其中的一種方法��,其實還有很多方法都是可以進行安全驗證的����。
實例展示php表單安全驗證這篇文章主要介紹了php token使用與驗證方法,通過對form表單hidden提交字段的處理實現token驗證功能,防止非法來源數據的訪問����。
token功能簡述
PHP 使用token驗證可有效的防止非法來源數據提交訪問�,增加數據操作的安全性
實現方法
前臺form表單:
<form action="do.php" method="POST">
<?php $module=mt_rand(100000,999999);?>
<input type="text" name="sec_name" value=""/> // 實際要傳遞的值
<input type="hidden" name="module" value="<?php echo $module;?>"/>
<input type="hidden" name="timestamp" value="<?php echo time();?>"/>
<input type="hidden" name="token" value="<?php echo md5($module.'#$@%!^*'.time());?>"/>
</form>
后臺do.php的token驗證部分:
$module = $_POST['module'];
$timestamp = $_POST['timestamp'];
$token = md5($module.'#$@%!^*'.$timestamp);
if($token != $_POST['token']){
return ['status' => 0, 'msg' => '非法數據來源', 'data' => []];
}
$sec_name=$_POST['sec_name'];
//PHP數據處理.....關于“PHP開發api接口安全驗證操作的示例分析”這篇文章就分享到這里了����,希望以上內容可以對大家有一定的幫助���,使各位可以學到更多知識�����,如果覺得文章不錯��,請把它分享出去讓更多的人看到���。
