PHP開發api介面安全驗證操作例項詳解
本文例項講述了PHP開發api介面安全驗證操作.分享給大家供大家參考,具體如下:
php的api介面
在PHP的開發工作中,對API介面開發不會陌生,後端人員寫好介面後,前臺就可以通過連結獲取介面提供的資料,而返回的資料一般分為兩種情況,xml和json,在這個過程中,伺服器並不知道,請求的來源是什麼,有可能是別人非法呼叫我們的介面,獲取資料,因此就要使用安全驗證來遮蔽某些呼叫。
驗證原理示意圖
原理
從圖中可以看得很清楚,前臺想要呼叫介面,需要使用幾個引數生成簽名。
● 時間戳:當前時間
● 隨機數:隨機生成的隨機數
● 口令:前後臺開發時,一個雙方都知道的標識,相當於暗號
● 演算法規則:商定好的運算規則,上面三個引數可以利用演算法規則生成一個簽名。
前臺生成一個簽名,當需要訪問介面的時候,把時間戳,隨機數,簽名三個引數通過URL傳遞到後臺。後臺拿到時間戳,隨機數後,通過一樣的演算法規則計算出簽名,然後和傳遞過來的簽名進行對比,一樣的話,返回資料。
演算法規則
在前後臺互動中,演算法規則是非常重要的,前後臺都要通過演算法規則計算出簽名,至於規則怎麼制定,前後端協商確定。
我這個演算法規則是
● 時間戳,隨機數,口令按照首字母大小寫順序排序
● 然後拼接成字串
● 進行sha1加密
● 再進行MD5加密
● 轉換成大寫。
前臺
這裡我並沒有實際的前臺,直接使用一個PHP檔案代替前臺,然後通過CURL模擬GET請求。我使用的是TP框架,URL格式是pathinfo格式。
原始碼
namespace app\service\controller;
use think\controller;
class CheckUrl extends Controller{
const TOKEN = 'API'; // 前後端統一的口令
//響應前臺的請求
public function respond(){
//驗證身份
$timeStamp = $_GET['t']; // 時間戳
$randomStr = $_GET['r']; // 隨機字串
$signature = $_GET['s']; //簽名
$str = $this -> arithmetic($timeStamp,$randomStr);
if($str != $signature){
return ['status' => 0,'msg' => '驗證失敗','data' => []];
}
}
/**
* @param $timeStamp 時間戳
* @param $randomStr 隨機字串
* @return string 返回簽名
*/
public function arithmetic($timeStamp,$randomStr){
$arr = [
'timeStamp' => $timeStamp,'randomStr' => $randomStr,'token' => self::TOKEN
];
//按照首字母大小寫順序排序
sort($arr,SORT_STRING);
//拼接成字串
$str = implode($arr);
//進行加密
$signature = sha1($str);
$signature = md5($signature);
//轉換成大寫
$signature = strtoupper($signature);
return $signature;
}
}
這種方法只是其中的一種方法,其實還有很多方法都是可以進行安全驗證的。
例項展示php表單安全驗證
這篇文章主要介紹了php token使用與驗證方法,通過對form表單hidden提交欄位的處理實現token驗證功能,防止非法來源資料的訪問。
- token功能簡述
PHP 使用token驗證可有效的防止非法來源資料提交訪問,增加資料操作的安全性 - 實現方法
前臺form表單:
<form action="do.php" method="POST"> <?php $module=mt_rand(100000,999999);?> <input type="text" name="sec_name" value=""/> // 實際要傳遞的值 <input type="hidden" name="module" value="<?php echo $module;?>"/> <input type="hidden" name="timestamp" value="<?php echo time();?>"/> <input type="hidden" name="token" value="<?php echo md5($module.'#$@%!^*'.time());?>"/> </form>
後臺do.php的token驗證部分:
$module = $_POST['module'];
$timestamp = $_POST['timestamp'];
$token = md5($module.'#$@%!^*'.$timestamp);
if($token != $_POST['token']){
return ['status' => 0,'msg' => '非法資料來源','data' => []];
}
$sec_name=$_POST['sec_name'];
//PHP資料處理.....
更多關於PHP相關內容感興趣的讀者可檢視本站專題:《php程式設計安全教程》、《php安全過濾技巧總結》、《PHP基本語法入門教程》、《php面向物件程式設計入門教程》、《php字串(string)用法總結》、《php+mysql資料庫操作入門教程》及《php常見資料庫操作技巧彙總》
希望本文所述對大家PHP程式設計有所幫助。