• 技术文章 >后端开发 >PHP问题

    php接口怎么保证安全性

    (*-*)浩(*-*)浩2019-09-25 10:52:55原创1517
    接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:

    (1)Token授权机制:(Token是客户端访问服务端的凭证)--用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。(推荐学习:PHP编程从入门到精通

    (2)时间戳超时机制:(签名机制保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。

    (3)签名机制:将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。

    /**
     * @desc 接受参数处理
     */
    private function dealParam(){
        //接受header参数--系统参数
        $systemParam=getAllHeadersParam();
        //接受body数据--业务参数(json格式)
        $data=file_get_contents('php://input');
        
        //读取配置文件中的私钥信息
        $api_apiKey=C('api_apiKey');
        $privatekey=$api_apiKey[$systemParam['token']];
    
    
        $arr['token']    =$systemParam['token'];        //服务端分配的标识(不同客户端需使用不同的标识)
        $arr['timestamp']=$systemParam['timestamp'];    //时间戳,UTC时间,以北京时间东八区(+8)为准
        $arr['version']  =$systemParam['version'];      //版本号
        $arr['sign']     =$systemParam['sign'];         //签名
        $arr['source']   =$systemParam['source'];       //来源(0-安卓/1-IOS/2-H5/3-PC/4-php/5-java)
        $arr['data'] =json_decode($data,true); //业务参数json格式 
        $arr['method'] =$data['method']; //访问接口,格式:模型名.方法名 
    
        return $arr;
     }
    /*
     * @desc 获取所有以HTTP开头的header参数
     * @return array
     */
    private function getAllHeadersParam(){
       $headers = array();
       foreach($_SERVER as $key=>$value){
           if(substr($key, 0, 5)==='HTTP_'){
               $key = substr($key, 5);
               $key = str_replace('_', ' ', $key);
               $key = str_replace(' ', '-', $key);
               $key = strtolower($key);
               $headers[$key] = $value;
           }
       }
       return $headers;
    }
    /*
     * @desc 签名校验
     * @param $token string 服务端分配的标识(不同客户端需使用不同的标识)
     * @param $timestamp string 时间戳,UTC时间,以北京时间东八区(+8)为准
     * @param $version string 版本号
     * @param $sign string 签名
     * @param $source int 来源(0-安卓/1-IOS/2-H5/3-PC/4-php/5-java)
     * @param $privatekey string 私钥
     * @param $data 业务参数json格式
     * @return bool
     */
    private function checkAuth($token,$timestamp,$version,$sign,$source,$privatekey,$data){
            //参数判断
            if(empty($token)){
                E('token不能为空!');
            }
            if(empty($timestamp)){
                E('时间戳不能为空!');
            }
            if(empty($version)){
                E('版本号不能为空!');
            }
            if(empty($data)){
                E('业务参数不能为空!');
            }
            if(empty($source) && $source<>'0'){
                E('来源不能为空!');
            }
            if(empty($sign)){
                E('签名不能为空!');
            }
            if(empty($privatekey)){
                E('私钥不能为空!');
            }
            //时间校验
            $expire_second=C('expire_second',null,10);
            $timestamp_t=$timestamp+$expire_second;
            if($timestamp_t<time()){
                E('请求已经过期!');
            }
            $public= D('public');
            $datas=$this->original;
            //系统参数
            $paramArr=array(
                'token'=>$token,
                'timestamp'=>$timestamp,
                'version'=>$version,
                'source'=>$source,
                'data'=>$data,
            );
    
            //按规则拼接为字符串
            $str = $this->createSign($paramArr,$this->privatekey);
            
            if($str != $this->sign){
                E('验签错误!');
            }
            return true;
        }

    以上就是php接口怎么保证安全性的详细内容,更多请关注php中文网其它相关文章!

    声明:本文原创发布php中文网,转载请注明出处,感谢您的尊重!如有疑问,请联系admin@php.cn处理
    专题推荐:php
    上一篇:php截取字符串无乱码方法 下一篇:php需要掌握哪些知识
    第16期线上培训班

    相关文章推荐

    • phpstudy linux 面板web后门防护功能上线• php和nginx如何交互• php怎样连接mysql数据库• php里的isset是什么意思

    全部评论我要评论

  • 取消发布评论发送
  • 1/1

    PHP中文网