快捷導(dǎo)航

PHP開發(fā)api接口安全驗證操作實例詳解

更新時間：2020年03月26日 11:36:39 作者：OldKind超

這篇文章主要介紹了PHP開發(fā)api接口安全驗證操作,結(jié)合實例形式詳細(xì)分析了PHP開發(fā)api接口安全驗證的原理、操作技巧與注意事項,需要的朋友可以參考下

本文實例講述了PHP開發(fā)api接口安全驗證操作.分享給大家供大家參考，具體如下：

php的api接口

在PHP的開發(fā)工作中，對API接口開發(fā)不會陌生，后端人員寫好接口后，前臺就可以通過鏈接獲取接口提供的數(shù)據(jù)，而返回的數(shù)據(jù)一般分為兩種情況，xml和json, 在這個過程中，服務(wù)器并不知道，請求的來源是什么，有可能是別人非法調(diào)用我們的接口，獲取數(shù)據(jù)，因此就要使用安全驗證來屏蔽某些調(diào)用。

驗證原理示意圖
在這里插入圖片描述
原理

從圖中可以看得很清楚，前臺想要調(diào)用接口，需要使用幾個參數(shù)生成簽名。
● 時間戳：當(dāng)前時間
● 隨機數(shù)：隨機生成的隨機數(shù)
● 口令：前后臺開發(fā)時，一個雙方都知道的標(biāo)識，相當(dāng)于暗號
● 算法規(guī)則：商定好的運算規(guī)則，上面三個參數(shù)可以利用算法規(guī)則生成一個簽名。

前臺生成一個簽名，當(dāng)需要訪問接口的時候，把時間戳，隨機數(shù)，簽名三個參數(shù)通過URL傳遞到后臺。后臺拿到時間戳，隨機數(shù)后，通過一樣的算法規(guī)則計算出簽名，然后和傳遞過來的簽名進(jìn)行對比，一樣的話，返回數(shù)據(jù)。

算法規(guī)則

在前后臺交互中，算法規(guī)則是非常重要的，前后臺都要通過算法規(guī)則計算出簽名，至于規(guī)則怎么制定，前后端協(xié)商確定。

我這個算法規(guī)則是

● 時間戳，隨機數(shù)，口令按照首字母大小寫順序排序
● 然后拼接成字符串
● 進(jìn)行sha1加密
● 再進(jìn)行MD5加密
● 轉(zhuǎn)換成大寫。

前臺

這里我并沒有實際的前臺，直接使用一個PHP文件代替前臺，然后通過CURL模擬GET請求。我使用的是TP框架，URL格式是pathinfo格式。

源代碼

namespace app\service\controller;
use think\controller;

class CheckUrl extends Controller{

  const TOKEN = 'API'; // 前后端統(tǒng)一的口令

  //響應(yīng)前臺的請求

  public function respond(){

    //驗證身份

    $timeStamp = $_GET['t']; // 時間戳

    $randomStr = $_GET['r']; // 隨機字符串

    $signature = $_GET['s']; //簽名

    $str = $this -> arithmetic($timeStamp, $randomStr);

    if($str != $signature){

      return ['status' => 0, 'msg' => '驗證失敗', 'data' => []];

    }

  }

  /**

   * @param $timeStamp 時間戳

   * @param $randomStr 隨機字符串

   * @return string 返回簽名

   */

  public function arithmetic($timeStamp, $randomStr){
		
		$arr = [
			'timeStamp' => $timeStamp,
			'randomStr' => $randomStr,
			'token' => self::TOKEN

		];

    //按照首字母大小寫順序排序

    sort($arr,SORT_STRING);

    //拼接成字符串

    $str = implode($arr);

    //進(jìn)行加密

    $signature = sha1($str);

    $signature = md5($signature);

    //轉(zhuǎn)換成大寫

    $signature = strtoupper($signature);

    return $signature;

  }

}

這種方法只是其中的一種方法，其實還有很多方法都是可以進(jìn)行安全驗證的。

實例展示php表單安全驗證

這篇文章主要介紹了php token使用與驗證方法,通過對form表單hidden提交字段的處理實現(xiàn)token驗證功能,防止非法來源數(shù)據(jù)的訪問。

token功能簡述
PHP 使用token驗證可有效的防止非法來源數(shù)據(jù)提交訪問，增加數(shù)據(jù)操作的安全性
實現(xiàn)方法
前臺form表單：

<form action="do.php" method="POST">

<?php $module=mt_rand(100000,999999);?>

 <input type="text" name="sec_name" value=""/> // 實際要傳遞的值

 <input type="hidden" name="module" value="<?php echo $module;?>"/>

 <input type="hidden" name="timestamp" value="<?php echo time();?>"/>

 <input type="hidden" name="token" value="<?php echo md5($module.'#$@%!^*'.time());?>"/>

</form>

后臺do.php的token驗證部分：

$module = $_POST['module'];

$timestamp = $_POST['timestamp'];

$token = md5($module.'#$@%!^*'.$timestamp);

if($token != $_POST['token']){

return ['status' => 0, 'msg' => '非法數(shù)據(jù)來源', 'data' => []];

}

$sec_name=$_POST['sec_name'];

//PHP數(shù)據(jù)處理.....

更多關(guān)于PHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題：《php程序設(shè)計安全教程》、《php安全過濾技巧總結(jié)》、《PHP基本語法入門教程》、《php面向?qū)ο蟪绦蛟O(shè)計入門教程》、《php字符串(string)用法總結(jié)》、《php+mysql數(shù)據(jù)庫操作入門教程》及《php常見數(shù)據(jù)庫操作技巧匯總》

希望本文所述對大家PHP程序設(shè)計有所幫助。

您可能感興趣的文章: