本文實(shí)例講述了PHP開發(fā)api接口安全驗(yàn)證操作.分享給大家供大家參考,具體如下:
php的api接口
在PHP的開發(fā)工作中�,對(duì)API接口開發(fā)不會(huì)陌生�����,后端人員寫好接口后����,前臺(tái)就可以通過鏈接獲取接口提供的數(shù)據(jù)����,而返回的數(shù)據(jù)一般分為兩種情況��,xml和json, 在這個(gè)過程中����,服務(wù)器并不知道,請(qǐng)求的來源是什么��,有可能是別人非法調(diào)用我們的接口����,獲取數(shù)據(jù)��,因此就要使用安全驗(yàn)證來屏蔽某些調(diào)用�。
驗(yàn)證原理示意圖
原理
從圖中可以看得很清楚��,前臺(tái)想要調(diào)用接口����,需要使用幾個(gè)參數(shù)生成簽名�����。
● 時(shí)間戳:當(dāng)前時(shí)間
● 隨機(jī)數(shù):隨機(jī)生成的隨機(jī)數(shù)
● 口令:前后臺(tái)開發(fā)時(shí)����,一個(gè)雙方都知道的標(biāo)識(shí)�����,相當(dāng)于暗號(hào)
● 算法規(guī)則:商定好的運(yùn)算規(guī)則�,上面三個(gè)參數(shù)可以利用算法規(guī)則生成一個(gè)簽名��。
前臺(tái)生成一個(gè)簽名,當(dāng)需要訪問接口的時(shí)候��,把時(shí)間戳�,隨機(jī)數(shù)��,簽名三個(gè)參數(shù)通過URL傳遞到后臺(tái)����。后臺(tái)拿到時(shí)間戳��,隨機(jī)數(shù)后���,通過一樣的算法規(guī)則計(jì)算出簽名�,然后和傳遞過來的簽名進(jìn)行對(duì)比���,一樣的話,返回?cái)?shù)據(jù)���。
算法規(guī)則
在前后臺(tái)交互中�����,算法規(guī)則是非常重要的,前后臺(tái)都要通過算法規(guī)則計(jì)算出簽名�,至于規(guī)則怎么制定�,前后端協(xié)商確定。
我這個(gè)算法規(guī)則是
● 時(shí)間戳����,隨機(jī)數(shù)����,口令按照首字母大小寫順序排序
● 然后拼接成字符串
● 進(jìn)行sha1加密
● 再進(jìn)行MD5加密
● 轉(zhuǎn)換成大寫。
前臺(tái)
這里我并沒有實(shí)際的前臺(tái)��,直接使用一個(gè)PHP文件代替前臺(tái)��,然后通過CURL模擬GET請(qǐng)求���。我使用的是TP框架����,URL格式是pathinfo格式。
源代碼
namespace app\service\controller;
use think\controller;
class CheckUrl extends Controller{
const TOKEN = 'API'; // 前后端統(tǒng)一的口令
//響應(yīng)前臺(tái)的請(qǐng)求
public function respond(){
//驗(yàn)證身份
$timeStamp = $_GET['t']; // 時(shí)間戳
$randomStr = $_GET['r']; // 隨機(jī)字符串
$signature = $_GET['s']; //簽名
$str = $this -> arithmetic($timeStamp, $randomStr);
if($str != $signature){
return ['status' => 0, 'msg' => '驗(yàn)證失敗', 'data' => []];
}
}
/**
* @param $timeStamp 時(shí)間戳
* @param $randomStr 隨機(jī)字符串
* @return string 返回簽名
*/
public function arithmetic($timeStamp, $randomStr){
$arr = [
'timeStamp' => $timeStamp,
'randomStr' => $randomStr,
'token' => self::TOKEN
];
//按照首字母大小寫順序排序
sort($arr,SORT_STRING);
//拼接成字符串
$str = implode($arr);
//進(jìn)行加密
$signature = sha1($str);
$signature = md5($signature);
//轉(zhuǎn)換成大寫
$signature = strtoupper($signature);
return $signature;
}
}
這種方法只是其中的一種方法,其實(shí)還有很多方法都是可以進(jìn)行安全驗(yàn)證的���。
實(shí)例展示php表單安全驗(yàn)證
這篇文章主要介紹了php token使用與驗(yàn)證方法,通過對(duì)form表單hidden提交字段的處理實(shí)現(xiàn)token驗(yàn)證功能,防止非法來源數(shù)據(jù)的訪問。
- token功能簡(jiǎn)述
PHP 使用token驗(yàn)證可有效的防止非法來源數(shù)據(jù)提交訪問�,增加數(shù)據(jù)操作的安全性
- 實(shí)現(xiàn)方法
前臺(tái)form表單:
form action="do.php" method="POST">
?php $module=mt_rand(100000,999999);?>
input type="text" name="sec_name" value=""/> // 實(shí)際要傳遞的值
input type="hidden" name="module" value="?php echo $module;?>"/>
input type="hidden" name="timestamp" value="?php echo time();?>"/>
input type="hidden" name="token" value="?php echo md5($module.'#$@%!^*'.time());?>"/>
/form>
后臺(tái)do.php的token驗(yàn)證部分:
$module = $_POST['module'];
$timestamp = $_POST['timestamp'];
$token = md5($module.'#$@%!^*'.$timestamp);
if($token != $_POST['token']){
return ['status' => 0, 'msg' => '非法數(shù)據(jù)來源', 'data' => []];
}
$sec_name=$_POST['sec_name'];
//PHP數(shù)據(jù)處理.....
更多關(guān)于PHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題:《php程序設(shè)計(jì)安全教程》����、《php安全過濾技巧總結(jié)》���、《PHP基本語(yǔ)法入門教程》�����、《php面向?qū)ο蟪绦蛟O(shè)計(jì)入門教程》、《php字符串(string)用法總結(jié)》����、《php+mysql數(shù)據(jù)庫(kù)操作入門教程》及《php常見數(shù)據(jù)庫(kù)操作技巧匯總》
希望本文所述對(duì)大家PHP程序設(shè)計(jì)有所幫助�。
您可能感興趣的文章:- PHP安全配置優(yōu)化詳解
- PHP網(wǎng)站常見安全漏洞,及相應(yīng)防范措施總結(jié)
- 6個(gè)常見的 PHP 安全性攻擊實(shí)例和阻止方法
- PHP安全之register_globals的on和off的區(qū)別
- Linux下PHP+Apache的26個(gè)必知的安全設(shè)置
- php解決安全問題的方法實(shí)例
- 實(shí)例分析10個(gè)PHP常見安全問題
- 針對(duì)PHP開發(fā)安全問題的相關(guān)總結(jié)
- 深入理解PHP中mt_rand()隨機(jī)數(shù)的安全
- PHP網(wǎng)頁(yè)安全認(rèn)證的實(shí)例詳解
- php常見的網(wǎng)絡(luò)攻擊及防御方法
