php接口怎么保证安全性
程序员文章站
2022-03-24 11:36:49
...
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:
(1)Token授权机制:(Token是客户端访问服务端的凭证)--用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。(推荐学习:PHP编程从入门到精通)
(2)时间戳超时机制:(签名机制保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。
(3)签名机制:将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。
/**
* @desc 接受参数处理
*/
private function dealParam(){
//接受header参数--系统参数
$systemParam=getAllHeadersParam();
//接受body数据--业务参数(json格式)
$data=file_get_contents('php://input');
//读取配置文件中的私钥信息
$api_apiKey=C('api_apiKey');
$privatekey=$api_apiKey[$systemParam['token']];
$arr['token'] =$systemParam['token']; //服务端分配的标识(不同客户端需使用不同的标识)
$arr['timestamp']=$systemParam['timestamp']; //时间戳,UTC时间,以北京时间东八区(+8)为准
$arr['version'] =$systemParam['version']; //版本号
$arr['sign'] =$systemParam['sign']; //签名
$arr['source'] =$systemParam['source']; //来源(0-安卓/1-IOS/2-H5/3-PC/4-php/5-java)
$arr['data'] =json_decode($data,true); //业务参数json格式
$arr['method'] =$data['method']; //访问接口,格式:模型名.方法名
return $arr;
}
/*
* @desc 获取所有以HTTP开头的header参数
* @return array
*/
private function getAllHeadersParam(){
$headers = array();
foreach($_SERVER as $key=>$value){
if(substr($key, 0, 5)==='HTTP_'){
$key = substr($key, 5);
$key = str_replace('_', ' ', $key);
$key = str_replace(' ', '-', $key);
$key = strtolower($key);
$headers[$key] = $value;
}
}
return $headers;
}
/*
* @desc 签名校验
* @param $token string 服务端分配的标识(不同客户端需使用不同的标识)
* @param $timestamp string 时间戳,UTC时间,以北京时间东八区(+8)为准
* @param $version string 版本号
* @param $sign string 签名
* @param $source int 来源(0-安卓/1-IOS/2-H5/3-PC/4-php/5-java)
* @param $privatekey string 私钥
* @param $data 业务参数json格式
* @return bool
*/
private function checkAuth($token,$timestamp,$version,$sign,$source,$privatekey,$data){
//参数判断
if(empty($token)){
E('token不能为空!');
}
if(empty($timestamp)){
E('时间戳不能为空!');
}
if(empty($version)){
E('版本号不能为空!');
}
if(empty($data)){
E('业务参数不能为空!');
}
if(empty($source) && $source<>'0'){
E('来源不能为空!');
}
if(empty($sign)){
E('签名不能为空!');
}
if(empty($privatekey)){
E('私钥不能为空!');
}
//时间校验
$expire_second=C('expire_second',null,10);
$timestamp_t=$timestamp+$expire_second;
if($timestamp_t<time()){
E('请求已经过期!');
}
$public= D('public');
$datas=$this->original;
//系统参数
$paramArr=array(
'token'=>$token,
'timestamp'=>$timestamp,
'version'=>$version,
'source'=>$source,
'data'=>$data,
);
//按规则拼接为字符串
$str = $this->createSign($paramArr,$this->privatekey);
if($str != $this->sign){
E('验签错误!');
}
return true;
}
以上就是php接口怎么保证安全性的详细内容,更多请关注其它相关文章!
下一篇: Python学习
推荐阅读
-
win10怎么设置登录密码保证电脑安全性?
-
swagger添加权限验证保证API(接口)安全性(两种方法)
-
PHP如何保证通过接口执行的循环查询+本地数据更新这个过程正确完成?
-
做php app接口时,怎么验证app
-
php怎么对接EMS的热敏接口
-
php+ios 支付接口 ping++怎么在php使用
-
PHP怎么做一个接口,向安卓客户端提供数据,比如id、name之类的
-
php+ios 支付接口 ping++怎么在php使用
-
nginx - Web服务器运行在www-data:www-data的用户组及用户下,php程序应该设置到哪个用户组及用户,才能保证安全性?
-
PHP做接口,向安卓客户端提供数据,id、name等,怎么实现