本文实例讲述了php开发api接口安全验证操作.分享给大家供大家参考,具体如下:
php的api接口
在php的开发工作中,对api接口开发不会陌生,后端人员写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json, 在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证来屏蔽某些调用。
验证原理示意图
原理
从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。
● 时间戳:当前时间
● 随机数:随机生成的随机数
● 口令:前后台开发时,一个双方都知道的标识,相当于暗号
● 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。
前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名三个参数通过url传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。
算法规则
在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,前后端协商确定。
我这个算法规则是
● 时间戳,随机数,口令按照首字母大小写顺序排序
● 然后拼接成字符串
● 进行sha1加密
● 再进行md5加密
● 转换成大写。
前台
这里我并没有实际的前台,直接使用一个php文件代替前台,然后通过curl模拟get请求。我使用的是tp框架,url格式是pathinfo格式。
源代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
|
namespace app\service\controller; use think\controller; class checkurl extends controller{ const token = 'api' ; // 前后端统一的口令 //响应前台的请求 public function respond(){ //验证身份 $timestamp = $_get [ 't' ]; // 时间戳 $randomstr = $_get [ 'r' ]; // 随机字符串 $signature = $_get [ 's' ]; //签名 $str = $this -> arithmetic( $timestamp , $randomstr ); if ( $str != $signature ){ return [ 'status' => 0, 'msg' => '验证失败' , 'data' => []]; } } /** * @param $timestamp 时间戳 * @param $randomstr 随机字符串 * @return string 返回签名 */ public function arithmetic( $timestamp , $randomstr ){ $arr = [ 'timestamp' => $timestamp , 'randomstr' => $randomstr , 'token' => self::token ]; //按照首字母大小写顺序排序 sort( $arr ,sort_string); //拼接成字符串 $str = implode( $arr ); //进行加密 $signature = sha1( $str ); $signature = md5( $signature ); //转换成大写 $signature = strtoupper ( $signature ); return $signature ; } } |
这种方法只是其中的一种方法,其实还有很多方法都是可以进行安全验证的。
实例展示php表单安全验证
这篇文章主要介绍了php token使用与验证方法,通过对form表单hidden提交字段的处理实现token验证功能,防止非法来源数据的访问。
-
token功能简述
php 使用token验证可有效的防止非法来源数据提交访问,增加数据操作的安全性 -
实现方法
前台form表单:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
<form action= "do.php" method= "post" > <?php $module =mt_rand(100000,999999);?> <input type= "text" name= "sec_name" value= "" /> // 实际要传递的值 <input type= "hidden" name= "module" value= "<?php echo $module;?>" /> <input type= "hidden" name= "timestamp" value= "<?php echo time();?>" /> <input type= "hidden" name= "token" value= "<?php echo md5($module.'#$@%!^*'.time());?>" /> </form> |
后台do.php的token验证部分:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
$module = $_post [ 'module' ]; $timestamp = $_post [ 'timestamp' ]; $token = md5( $module . '#$@%!^*' . $timestamp ); if ( $token != $_post [ 'token' ]){ return [ 'status' => 0, 'msg' => '非法数据来源' , 'data' => []]; } $sec_name = $_post [ 'sec_name' ]; //php数据处理..... |
希望本文所述对大家PHP程序设计有所帮助。
原文链接:https://blog.csdn.net/qq_36261130/article/details/103894921