首頁  >  文章  >  後端開發  >  api介面安全驗證功能的實現

api介面安全驗證功能的實現

php中世界最好的语言
php中世界最好的语言原創
2018-03-24 13:36:582064瀏覽

這次帶給大家api介面安全驗證功能的實現,實現api介面安全驗證功能的注意事項有哪些,下面就是實戰案例,一起來看一下。

php的api介面

在實際工作中,使用PHP寫api介面是經常做的,PHP寫好介面後,前台就可以透過連結取得介面提供的數據,而傳回的資料一般分為兩種情況,xml和json,在這個過程中,伺服器並不知道,請求的來源是什麼,有可能是別人非法呼叫我們的接口,取得數據,因此就要使用安全驗證。

驗證原理

示意圖

原理

從圖中可以看得很清楚,前台想要呼叫接口,需要使用幾個參數來產生簽章。

時間戳記:當前時間

隨機數:隨機產生的隨機數

口令:前後台開發時,雙方都知道的標識,相當於暗號

演算法規則:商定好的運算規則,上面三個參數可以利用演算法規則產生一個簽章。

前台產生一個簽名,當需要存取介面的時候,把時間戳,隨機數,簽名透過URL傳遞到後台。後台拿到時間戳,隨機數後,透過一樣的演算法規則計算出簽名,然後和傳遞過來的簽名進行對比,一樣的話,回傳資料。

演算法規則

在前後互動中,演算法規則是非常重要的,前後台都要透過演算法規則計算出簽名,至於規則怎麼制定,看你怎麼高興怎麼來。

我這個演算法規則是

1 時間戳,隨機數,口令依照首字母大小寫順序排序

2 然後拼接成字串

3 進行sha1加密

4 再進行MD5加密

#5 轉換成大寫。

前台

這裡我並沒有實際的前台,直接使用一個PHP檔案取代前台,然後透過CURL模擬GET請求。我使用的是TP框架,URL格式是pathinfo格式。

原始碼

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/3/16 0016
 * Time: 15:56
 */
namespace Client\Controller;
use Think\Controller;
class ClientController extends Controller{
 const TOKEN = &#39;API&#39;;
 //模拟前台请求服务器api接口
 public function getDataFromServer(){
  //时间戳
  $timeStamp = time();
  //随机数
  $randomStr = $this -> createNonceStr();
  //生成签名
  $signature = $this -> arithmetic($timeStamp,$randomStr);
  //url地址
  $url = "http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";
  $result = $this -> httpGet($url);
  dump($result);
 }
 //curl模拟get请求。
 private function httpGet($url){
  $curl = curl_init();
  //需要请求的是哪个地址
  curl_setopt($curl,CURLOPT_URL,$url);
  //表示把请求的数据已文件流的方式输出到变量中
  curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
  $result = curl_exec($curl);
  curl_close($curl);
  return $result;
 }
 //随机生成字符串
 private function createNonceStr($length = 8) {
  $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
  $str = "";
  for ($i = 0; $i < $length; $i++) {
   $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
  }
  return "z".$str;
 }
 /**
  * @param $timeStamp 时间戳
  * @param $randomStr 随机字符串
  * @return string 返回签名
  */
 private function arithmetic($timeStamp,$randomStr){
  $arr[&#39;timeStamp&#39;] = $timeStamp;
  $arr[&#39;randomStr&#39;] = $randomStr;
  $arr[&#39;token&#39;] = self::TOKEN;
  //按照首字母大小写顺序排序
  sort($arr,SORT_STRING);
  //拼接成字符串
  $str = implode($arr);
  //进行加密
  $signature = sha1($str);
  $signature = md5($signature);
  //转换成大写
  $signature = strtoupper($signature);
  return $signature;
 }
}

伺服器端

接受前台資料進行驗證

原始碼

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/3/16 0016
 * Time: 16:01
 */
namespace Server\Controller;
use Think\Controller;
class ServerController extends Controller{
 const TOKEN = &#39;API&#39;;
 //响应前台的请求
 public function respond(){
  //验证身份
  $timeStamp = $_GET[&#39;t&#39;];
  $randomStr = $_GET[&#39;r&#39;];
  $signature = $_GET[&#39;s&#39;];
  $str = $this -> arithmetic($timeStamp,$randomStr);
  if($str != $signature){
   echo "-1";
   exit;
  }
  //模拟数据
  $arr['name'] = 'api';
  $arr['age'] = 15;
  $arr['address'] = 'zz';
  $arr['ip'] = "192.168.0.1";
  echo json_encode($arr);
 }
 /**
  * @param $timeStamp 时间戳
  * @param $randomStr 随机字符串
  * @return string 返回签名
  */
 public function arithmetic($timeStamp,$randomStr){
  $arr['timeStamp'] = $timeStamp;
  $arr['randomStr'] = $randomStr;
  $arr['token'] = self::TOKEN;
  //按照首字母大小写顺序排序
  sort($arr,SORT_STRING);
  //拼接成字符串
  $str = implode($arr);
  //进行加密
  $signature = sha1($str);
  $signature = md5($signature);
  //转换成大写
  $signature = strtoupper($signature);
  return $signature;
 }
}

結果

#
string(57) "{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"

##總結

rrreee

##總結

這種方法只是其中的一種方法,其實還有很多方法都是可以進行安全驗證的。 相信看了本文案例你已經掌握了方法,更多精彩請關注php中文網其它相關文章!

推薦閱讀:

PHP回呼函數及匿名函數使用詳解

#########phpstudy2018的存取目錄服務權限### ######

以上是api介面安全驗證功能的實現的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn