目錄
- 概覽
- 常用驗(yàn)證
- 單向散列加密
- 對稱加密
- 非對稱加密
- 密鑰安全管理
- 接口調(diào)試工具
- 在線接口文檔
- 擴(kuò)展
- 小結(jié)
概覽
在設(shè)計(jì)簽名驗(yàn)證的時(shí)候,一定要滿足以下幾點(diǎn):
- 可變性:每次的簽名必須是不一樣的�。
- 時(shí)效性:每次請求的時(shí)效性,過期作廢�����。
- 唯一性:每次的簽名是唯一的��。
- 完整性:能夠?qū)魅霐?shù)據(jù)進(jìn)行驗(yàn)證��,防止篡改�。
下面主要分享一些工作中常用的加解密的方法。
常用驗(yàn)證
舉例:/api/login?username=xxxpassword=xxxsign=xxx
發(fā)送方和接收方約定一個(gè)加密的鹽值���,進(jìn)行生成簽名���。
示例代碼:
//創(chuàng)建簽名
private function _createSign()
{
$strSalt = '1scv6zfzSR1wLaWN';
$strVal = '';
if ($this->params) {
$params = $this->params;
ksort($params);
$strVal = http_build_query($params, '', '', PHP_QUERY_RFC3986);
}
return md5(md5($strSalt).md5($strVal));
}
//驗(yàn)證簽名
if ($_GET['sign'] != $this->_createSign()) {
echo 'Invalid Sign.';
}
上面使用到了 MD5 方法,MD5 屬于單向散列加密�����。
單向散列加密
定義
把任意長的輸入串變化成固定長的輸出串���,并且由輸出串難以得到輸入串�����,這種方法稱為單項(xiàng)散列加密����。
常用算法
優(yōu)點(diǎn)
以 MD5 為例。
- 方便存儲(chǔ):加密后都是固定大?���。?2位)的字符串,能夠分配固定大小的空間存儲(chǔ)����。
- 損耗低:加密/加密對于性能的損耗微乎其微。
- 文件加密:只需要32位字符串就能對一個(gè)巨大的文件驗(yàn)證其完整性�����。
- 不可逆:大多數(shù)的情況下不可逆��,具有良好的安全性�����。
缺點(diǎn)
存在暴力破解的可能性�,最好通過加鹽值的方式提高安全性。
應(yīng)用場景
用于敏感數(shù)據(jù)����,比如用戶密碼,請求參數(shù)�����,文件加密等���。
推薦密碼的存儲(chǔ)方式
password_hash()使用足夠強(qiáng)度的單向散列算法創(chuàng)建密碼的哈希(hash)���。
示例代碼:
//密碼加密
$password = '123456';
$strPwdHash = password_hash($password, PASSWORD_DEFAULT);
//密碼驗(yàn)證
if (password_verify($password, $strPwdHash)) {
//Success
} else {
//Fail
}
PHP 手冊地址:
http://php.net/manual/zh/function.password-hash.php
對稱加密
定義
同一個(gè)密鑰可以同時(shí)用作數(shù)據(jù)的加密和解密,這種方法稱為對稱加密����。
常用算法
AES 是 DES 的升級版,密鑰長度更長�,選擇更多,也更靈活�����,安全性更高�,速度更快���。
優(yōu)點(diǎn)
算法公開、計(jì)算量小��、加密速度快����、加密效率高。
缺點(diǎn)
發(fā)送方和接收方必須商定好密鑰����,然后使雙方都能保存好密鑰,密鑰管理成為雙方的負(fù)擔(dān)���。
應(yīng)用場景
相對大一點(diǎn)的數(shù)據(jù)量或關(guān)鍵數(shù)據(jù)的加密�����。
AES
AES 加密類庫在網(wǎng)上很容易找得到����,請注意類庫中的mcrypt_encrypt和mcrypt_decrypt方法��!
在 PHP7.2 版本中已經(jīng)被棄用了�,在新版本中使用openssl_encrypt和openssl_decrypt兩個(gè)方法。
示例代碼(類庫):
class Aes
{
/**
* var string $method 加解密方法
*/
protected $method;
/**
* var string $secret_key 加解密的密鑰
*/
protected $secret_key;
/**
* var string $iv 加解密的向量
*/
protected $iv;
/**
* var int $options
*/
protected $options;
/**
* 構(gòu)造函數(shù)
* @param string $key 密鑰
* @param string $method 加密方式
* @param string $iv 向量
* @param int $options
*/
public function __construct($key = '', $method = 'AES-128-CBC', $iv = '', $options = OPENSSL_RAW_DATA)
{
$this->secret_key = isset($key) ? $key : 'CWq3g0hgl7Ao2OKI';
$this->method = in_array($method, openssl_get_cipher_methods()) ? $method : 'AES-128-CBC';
$this->iv = $iv;
$this->options = in_array($options, [OPENSSL_RAW_DATA, OPENSSL_ZERO_PADDING]) ? $options : OPENSSL_RAW_DATA;
}
/**
* 加密
* @param string $data 加密的數(shù)據(jù)
* @return string
*/
public function encrypt($data = '')
{
return base64_encode(openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv));
}
/**
* 解密
* @param string $data 解密的數(shù)據(jù)
* @return string
*/
public function decrypt($data = '')
{
return openssl_decrypt(base64_decode($data), $this->method, $this->secret_key, $this->options, $this->iv);
}
}
示例代碼:
$aes = new Aes('HFu8Z5SjAT7CudQc');
$encrypted = $aes->encrypt('鋤禾日當(dāng)午');
echo '加密前:鋤禾日當(dāng)午br>加密后:', $encrypted, 'hr>';
$decrypted = $aes->decrypt($encrypted);
echo '加密后:', $encrypted, 'br>解密后:', $decrypted;
運(yùn)行結(jié)果:
非對稱加密
定義
需要兩個(gè)密鑰來進(jìn)行加密和解密���,這兩個(gè)秘鑰分別是公鑰(public key)和私鑰(private key)��,這種方法稱為非對稱加密����。
常用算法
RSA
優(yōu)點(diǎn)
與對稱加密相比����,安全性更好,加解密需要不同的密鑰�,公鑰和私鑰都可進(jìn)行相互的加解密。
缺點(diǎn)
加密和解密花費(fèi)時(shí)間長����、速度慢,只適合對少量數(shù)據(jù)進(jìn)行加密�����。
應(yīng)用場景
適合于對安全性要求很高的場景���,適合加密少量數(shù)據(jù)�,比如支付數(shù)據(jù)、登錄數(shù)據(jù)等��。
| 算法名稱 |
標(biāo)準(zhǔn)名稱 |
備注 |
| RSA2 |
SHA256WithRSA |
強(qiáng)制要求RSA密鑰的長度至少為2048 |
| RSA |
SHA1WithRSA |
對RSA密鑰的長度不限制����,推薦使用2048位以上 |
RSA2 比 RSA 有更強(qiáng)的安全能力。
螞蟻金服���,新浪微博 都在使用 RSA2 算法��。
創(chuàng)建公鑰和私鑰:
openssl genrsa -out private_key.pem 2048
openssl rsa -in private_key.pem -pubout -out public_key.pem
執(zhí)行上面命令�����,會(huì)生成private_key.pem和public_key.pem兩個(gè)文件�����。
示例代碼(類庫):
class Rsa2
{
private static $PRIVATE_KEY = 'private_key.pem 內(nèi)容';
private static $PUBLIC_KEY = 'public_key.pem 內(nèi)容';
/**
* 獲取私鑰
* @return bool|resource
*/
private static function getPrivateKey()
{
$privateKey = self::$PRIVATE_KEY;
return openssl_pkey_get_private($privateKey);
}
/**
* 獲取公鑰
* @return bool|resource
*/
private static function getPublicKey()
{
$publicKey = self::$PUBLIC_KEY;
return openssl_pkey_get_public($publicKey);
}
/**
* 私鑰加密
* @param string $data
* @return null|string
*/
public static function privateEncrypt($data = '')
{
if (!is_string($data)) {
return null;
}
return openssl_private_encrypt($data,$encrypted,self::getPrivateKey()) ? base64_encode($encrypted) : null;
}
/**
* 公鑰加密
* @param string $data
* @return null|string
*/
public static function publicEncrypt($data = '')
{
if (!is_string($data)) {
return null;
}
return openssl_public_encrypt($data,$encrypted,self::getPublicKey()) ? base64_encode($encrypted) : null;
}
/**
* 私鑰解密
* @param string $encrypted
* @return null
*/
public static function privateDecrypt($encrypted = '')
{
if (!is_string($encrypted)) {
return null;
}
return (openssl_private_decrypt(base64_decode($encrypted), $decrypted, self::getPrivateKey())) ? $decrypted : null;
}
/**
* 公鑰解密
* @param string $encrypted
* @return null
*/
public static function publicDecrypt($encrypted = '')
{
if (!is_string($encrypted)) {
return null;
}
return (openssl_public_decrypt(base64_decode($encrypted), $decrypted, self::getPublicKey())) ? $decrypted : null;
}
/**
* 創(chuàng)建簽名
* @param string $data 數(shù)據(jù)
* @return null|string
*/
public function createSign($data = '')
{
if (!is_string($data)) {
return null;
}
return openssl_sign($data, $sign, self::getPrivateKey(), OPENSSL_ALGO_SHA256) ? base64_encode($sign) : null;
}
/**
* 驗(yàn)證簽名
* @param string $data 數(shù)據(jù)
* @param string $sign 簽名
* @return bool
*/
public function verifySign($data = '', $sign = '')
{
if (!is_string($sign) || !is_string($sign)) {
return false;
}
return (bool)openssl_verify($data, base64_decode($sign), self::getPublicKey(), OPENSSL_ALGO_SHA256);
}
}
示例代碼:
$rsa2 = new Rsa2();
$privateEncrypt = $rsa2->privateEncrypt('鋤禾日當(dāng)午');
echo '私鑰加密后:'.$privateEncrypt.'br>';
$publicDecrypt = $rsa2->publicDecrypt($privateEncrypt);
echo '公鑰解密后:'.$publicDecrypt.'br>';
$publicEncrypt = $rsa2->publicEncrypt('鋤禾日當(dāng)午');
echo '公鑰加密后:'.$publicEncrypt.'br>';
$privateDecrypt = $rsa2->privateDecrypt($publicEncrypt);
echo '私鑰解密后:'.$privateDecrypt.'br>';
$sign = $rsa2->createSign('鋤禾日當(dāng)午');
echo '生成簽名:'.$privateEncrypt.'br>';
$status = $rsa2->verifySign('鋤禾日當(dāng)午', $sign);
echo '驗(yàn)證簽名:'.($status ? '成功' : '失敗') ;
運(yùn)行結(jié)果:
部分?jǐn)?shù)據(jù)截圖如下:
JS-RSA
JSEncrypt:用于執(zhí)行OpenSSL RSA加密�����、解密和密鑰生成的Javascript庫����。
Git源:https://github.com/travist/jsencrypt
應(yīng)用場景:
我們在做 WEB 的登錄功能時(shí)一般是通過 Form 提交或 Ajax 方式提交到服務(wù)器進(jìn)行驗(yàn)證的�����。
為了防止抓包��,登錄密碼肯定要先進(jìn)行一次加密(RSA)����,再提交到服務(wù)器進(jìn)行驗(yàn)證。
一些大公司都在使用����,比如淘寶、京東�����、新浪 等�����。
示例代碼就不提供了���,Git上提供的代碼是非常完善的��。
密鑰安全管理
這些加密技術(shù)��,能夠達(dá)到安全加密效果的前提是密鑰的保密性���。
實(shí)際工作中���,不同環(huán)境的密鑰都應(yīng)該不同(開發(fā)環(huán)境、預(yù)發(fā)布環(huán)境����、正式環(huán)境)。
那么�,應(yīng)該如何安全保存密鑰呢?
環(huán)境變量
將密鑰設(shè)置到環(huán)境變量中��,每次從環(huán)境變量中加載�����。
配置中心
將密鑰存放到配置中心���,統(tǒng)一進(jìn)行管理�����。
密鑰過期策略
設(shè)置密鑰有效期����,比如一個(gè)月進(jìn)行重置一次����。
在這里希望大佬提供新的思路 ~
接口調(diào)試工具
Postman
一款功能強(qiáng)大的網(wǎng)頁調(diào)試與發(fā)送網(wǎng)頁 HTTP 請求的 Chrome插件。
這個(gè)不用多介紹�����,大家肯定都使用過�。
SocketLog
Git源:https://github.com/luofei614/SocketLog
解決的痛點(diǎn):
- 正在運(yùn)行的API有Bug,不能在文件中使用var_dump進(jìn)行調(diào)試�,因?yàn)闀?huì)影響到client的調(diào)用。將日志寫到文件中���,查看也不是很方便�。
- 我們在二次開發(fā)一個(gè)新系統(tǒng)的時(shí)候��,想查看執(zhí)行了哪些Sql語句及程序的warning�,notice等錯(cuò)誤信息。
SocketLog,可以解決以上問題��,它通過WebSocket將調(diào)試日志輸出到瀏覽器的console中�����。
使用方法
- 安裝���、配置Chrome插件
- SocketLog服務(wù)端安裝
- PHP中用SocketLog調(diào)試
- 配置日志類型和相關(guān)參數(shù)
在線接口文檔
接口開發(fā)完畢��,需要給請求方提供接口文檔���,文檔的編寫現(xiàn)在大部分都使用Markdown格式。
也有一些開源的系統(tǒng)��,可以下載并安裝到自己的服務(wù)器上����。
也有一些在線的系統(tǒng),可以在線使用同時(shí)也支持離線導(dǎo)出����。
根據(jù)自己的情況,選擇適合自己的文檔平臺(tái)吧����。
常用的接口文檔平臺(tái):
- eolinker
- Apizza
- Yapi
- RAP2
- DOClever
擴(kuò)展
一�����、在 HTTP 和 RPC 的選擇上�����,可能會(huì)有一些疑問,RPC框架配置比較復(fù)雜�����,明明用HTTP能實(shí)現(xiàn)為什么要選擇RPC�?
下面簡單的介紹下 HTTP 與 RPC 的區(qū)別。
傳輸協(xié)議:
- HTTP 基于 HTTP 協(xié)議�����。
- RPC 即可以 HTTP 協(xié)議����,也可以 TCP 協(xié)議。
HTTP 也是 RPC 實(shí)現(xiàn)的一種方式����。
性能消耗:
- HTTP 大部分基于 JSON 實(shí)現(xiàn)的�����,序列化需要時(shí)間和性能�����。
- RPC 可以基于二進(jìn)制進(jìn)行傳輸����,消耗性能少一點(diǎn)��。
推薦一個(gè)像 JSON ���,但比 JSON 傳輸更快占用更少的新型序列化類庫MessagePack����。
官網(wǎng)地址:https://msgpack.org/
還有一些服務(wù)治理����、負(fù)載均衡配置的區(qū)別。
使用場景:
比如瀏覽器接口����、APP接口�����、第三方接口���,推薦使用 HTTP。
比如集團(tuán)內(nèi)部的服務(wù)調(diào)用���,推薦使用 RPC����。
RPC 比 HTTP 性能消耗低���,傳輸效率高,服務(wù)治理也方便�。
推薦使用的 RPC 框架:Thrift。
二����、動(dòng)態(tài)令牌
簡單介紹下幾種動(dòng)態(tài)令牌,感興趣的可以深入了解下���。
OTP:One-Time Password 一次性密碼�����。
HOTP:HMAC-based One-Time Password 基于HMAC算法加密的一次性密碼����。
TOTP:Time-based One-Time Password 基于時(shí)間戳算法的一次性密碼。
使用場景:
- 公司VPN登錄雙因素驗(yàn)證
- 服務(wù)器登錄動(dòng)態(tài)密碼驗(yàn)證
- 網(wǎng)銀��、網(wǎng)絡(luò)游戲的實(shí)體動(dòng)態(tài)口令牌
- 銀行轉(zhuǎn)賬動(dòng)態(tài)密碼
小結(jié)
本文講了設(shè)計(jì)簽名驗(yàn)證需要滿足的一些條件:可變性���、時(shí)效性���、唯一性、完整性�����。
還講了一些加密方法:單向散列加密����、對稱加密、非對稱加密����,同時(shí)分析了各種加密方法的優(yōu)缺點(diǎn)��,大家可以根據(jù)自己的業(yè)務(wù)特點(diǎn)進(jìn)行自由選擇��。
提供了 Aes��、Rsa 相關(guān)代碼示例�����。
分享了可以編寫接口文檔的在線系統(tǒng)��。
分享了開發(fā)過程中使用的接口調(diào)試工具���。
擴(kuò)展中分析了 HTTP 和 RPC 的區(qū)別,動(dòng)態(tài)令牌的介紹等�。
以上就是詳解PHP接口簽名驗(yàn)證的詳細(xì)內(nèi)容��,更多關(guān)于PHP接口簽名驗(yàn)證的資料請關(guān)注腳本之家其它相關(guān)文章�����!
您可能感興趣的文章:- PHP開發(fā)API接口簽名生成及驗(yàn)證操作示例
- 淺談PHP SHA1withRSA加密生成簽名及驗(yàn)簽
- php實(shí)現(xiàn)往pdf中加數(shù)字簽名操作示例【附源碼下載】
- PHP實(shí)現(xiàn)的MD5結(jié)合RSA簽名算法實(shí)例
- 用PHP去掉文件頭的Unicode簽名(BOM)方法
- PHP實(shí)現(xiàn)RSA簽名生成訂單功能【支付寶示例】
- php rsa 加密����,解密���,簽名,驗(yàn)簽詳解
- php 生成簽名及驗(yàn)證簽名詳解
- php接口數(shù)據(jù)加密�����、解密���、驗(yàn)證簽名
