php-app開發接口加密範例

/**
inc 
解析接口
客戶端接口傳輸規則:
1.用cmd參數(base64)來動態調用不同的接口,接口地址統一爲 http://a.lovexpp.com
2.將要傳過來的參數組成一個數組，數組添加timestamp元素(當前時間戳,精確到秒)，將數組的鍵值按照自然排序從大到小排序
3.將數組組成 key=val&key=val的形式的字符串，將字符串與XPP_KEY連接在一起,用md5加密一次(32位小寫),得到sign
4.將sign添加到參數數組中
5.將參數數組轉換成json用post請求請求接口地址,key值爲param
服務端接口解析規則:
1.接收參數param,將結果解析json得到參數數組
2.取出sign,去掉參數數組中的sign
3.將參數數組key值按照自然排序從大到小排序
4.將排序後的參數數組按照key=val&key=val的形式組成字符串，將字符串與XPP_KEY連接，用md5加密一次(32位小寫)，得到sign
5.將sign與客戶端傳過來的sign進行比對,如不一樣則可能是中途被篡改參數，服務器拒絕此次請求
6.將sign與session中的sign對比，如果一樣，則爲重複提交，服務器拒絕此次請求
7.此次的sign存入session
8.執行路由cmd(base64解析後),將參數帶到該方法中
*/
 
$xpp_key = "xxx";
 
//接收參數param,將結果解析json得到參數數組
$param = json_decode($_POST['param'] , true);
 
//取出sign,去掉參數數組中的sign
$client_sign = $param['sign'];
unset($param['sign']);
 
//將參數數組key值按照自然排序從大到小排序
krsort($param);
 
//將排序後的參數數組按照key=val&key=val的形式組成字符串，將字符串與XPP_KEY連接，用md5加密一次(32位小寫)，得到sign
$sb = '';
foreach($param as $key=>$val){
    $sb .= $key . '=' . $val . '&';
}
$sb .= $xpp_key;
$server_sign = md5($sb);
 
//將sign與客戶端傳過來的sign進行比對,如不一樣則可能是中途被篡改參數，服務器拒絕此次請求
if($server_sign !== $client_sign){
    echo json_encode(array('code'=>'invalid request'));
    exit;
}
 
//將sign與session中的sign對比，如果一樣，則爲重複提交，服務器拒絕此次請求
if($server_sign == $_SESSION['last_sign']){
    echo json_encode(array('code'=>'Repeated requests'));
    exit();
}
 
//此次的sign存入session
$_SESSION['last_sign'] = $server_sign;
 
//執行路由cmd(base64解析後),將參數帶到該方法中
$cmd = base64_decode($param['cmd']);
list($__controller,$__action) = explode('-' , $cmd);
 
// 設置請求參數
unset($param['cmd']);
unset($param['timestamp']);
foreach($param as $key => $val){
    $_REQUEST[$key] = $val;
}