PHP里API接口安全验证怎样操作?
发布时间:2021-12-23 12:46:49 所属栏目:PHP教程 来源:互联网
导读:这篇文章主要给大家分享的是PHP开发api接口安全验证的操作,下文有验证原理的介绍以及实例,具有一定的借鉴价值,感兴趣的朋友可以参考一下,希望大家阅读完这篇文章能有所收获,下面我们一起来了解一下吧。 php的api接口 在PHP的开发工作中,对API接口开发
这篇文章主要给大家分享的是PHP开发api接口安全验证的操作,下文有验证原理的介绍以及实例,具有一定的借鉴价值,感兴趣的朋友可以参考一下,希望大家阅读完这篇文章能有所收获,下面我们一起来了解一下吧。 php的api接口 在PHP的开发工作中,对API接口开发不会陌生,后端人员写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json, 在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证来屏蔽某些调用。 验证原理示意图 原理 从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。 ● 时间戳:当前时间 ● 随机数:随机生成的随机数 ● 口令:前后台开发时,一个双方都知道的标识,相当于暗号 ● 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。 前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名三个参数通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。 算法规则 在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,前后端协商确定。 我这个算法规则是 ● 时间戳,随机数,口令按照首字母大小写顺序排序 ● 然后拼接成字符串 ● 进行sha1加密 ● 再进行MD5加密 ● 转换成大写。 前台 这里我并没有实际的前台,直接使用一个PHP文件代替前台,然后通过CURL模拟GET请求。我使用的是TP框架,URL格式是pathinfo格式。 源代码 namespace appservicecontroller; use thinkcontroller; class CheckUrl extends Controller{ const TOKEN = 'API'; // 前后端统一的口令 //响应前台的请求 public function respond(){ //验证身份 $timeStamp = $_GET['t']; // 时间戳 $randomStr = $_GET['r']; // 随机字符串 $signature = $_GET['s']; //签名 $str = $this -> arithmetic($timeStamp, $randomStr); if($str != $signature){ return ['status' => 0, 'msg' => '验证失败', 'data' => []]; } } (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |