PHP實現API接口簽名驗證

原創 风雅的远行者 2020-06-19 00:59

項目需要向外部提供接口,供第三方網站調用,爲了保證傳輸數據的安全性,給項目添加了簽名認證的機制,過程大致如下:

一、由我們平臺給第三方頒發一個appId和一個appSecret,appId用來傳輸,appSecret用來生成簽名

二、第三方通過拼接appSecret生成簽名sign,第三方將數據和appId一起傳給我們平臺

三、我們平臺接收到數據後根據接收到的數據用同樣的算法生成簽名,通過比對簽名確定來進行數據來源的有效性確認

部分代碼如下:

一、appId和appSecret的存儲表如下:

CREATE TABLE `encrypt` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `public_key` varchar(255) NOT NULL COMMENT '公鑰',
  `screct_key` varchar(255) NOT NULL COMMENT '私鑰',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4;

二、生成appId和appSecret的方法如下:

    /**
     * 生成Key
     * @access public
     * @return array
     */
    public static function makeKey()
    {
        $appId = strrev(microtime(true)*10000);
        $appSecret = md5(md5($appId.'awen').'awen');
        $model = new \common\models\Encrypt();
        $model->public_key = $appId;
        $model->screct_key = $appSecret;
        $model->save();
        return [
            'appId' => $appId,
            'appSecret' => $appSecret,
        ];
    }

三、簽名生成方法:

1. 對所有請求參數進行字典升序排列; 
2. 將以上排序後的參數表進行字符串連接,如key1value1key2value2key3value3...keyNvalueN; 
3. app secret作爲後綴,對該字符串進行SHA-1計算,並轉換成16進制編碼; 
4. 轉換爲全大寫形式後即獲得簽名串

具體簽名生成與對比的代碼如下

    /**
     * 驗證簽名有效性
     * @access public
     * @param array params 參數
     * @param sting sign 簽名
     * @param sting appId
     * @return bool 驗證結果
     */
    public static function checkSign($params,$sign,$appId)
    {
        //根據appId去數據庫找到對應的appSecret
        $appSecret = self::getAppSecret($appId);
        // 1. 對加密數組進行字典排序 防止因爲參數順序不一致而導致下面拼接加密不同
        ksort($params);
        // 2. 將Key和Value拼接
        $str = "";
        foreach ($params as $k => $v) {
            $str.= $k.$v;
        }
        //3. 通過sha1加密並轉化爲大寫
        //4. 大寫獲得簽名
        $restr=$str.$appSecret;
        $signRes = strtoupper(sha1($restr));

        if($signRes == $sign){
            return true;
        }else{
            return false;
        }
    }

四、在basecontroller中添加簽名驗證代碼

    /**
     * 驗證簽名
     */
    public function beforeAction($action)
    {
        $post = @file_get_contents('php://input');
        \Yii::$app->log->targets[0]->logFile = \Yii::getAlias('@runtime').DIRECTORY_SEPARATOR.'logs'.DIRECTORY_SEPARATOR.'outside.log';
        \Yii::trace('接受的數據爲:'.$post);
        //解析成數組
        $post =  json_decode( $post, true );
        $data = $post['data'];
        if(!$data){
            $result = ['status'=> 0, 'message'=>'缺少參數data'];
            return \Yii::$app->response->data = $result;
        }
        $appId = $post['appId'];
        if(!$appId){
            $result = ['status'=> 0, 'message'=>'缺少參數appId'];
            return \Yii::$app->response->data = $result;
        }
        parse_str($data,$params);
        $sign = $params['sign'];
        unset($params['sign']);
        $signCheck = Encrypt::checkSign($params,$sign,$appId);
        if($signCheck){
            $result = ['status'=> 1, 'message'=>'數據正常','params'=>$params,'appId'=>$appId];
        }else{
            $result = ['status'=> 0, 'message'=>'簽名錯誤','params'=>$params,'appId'=>$appId];
        }

        return \Yii::$app->response->data = $result;
    }

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Yii 同一個表,同一個字段,以不同的名字顯示 Multiple Labels in a single Model

今天做一個功能,我有一個表,是寄存系統所有公司的信息,但是公司的類別更加type這個字段把公司分爲一般公司名字和重要公司名字,但2個都是保存到companyName這個字段下面。yii的attributeLabels很方便可以做到那個輸入

番兄 2020-07-07 02:49:45

Yii2 rules 自定義規則

  Yii2 提供了一套完善的參數校驗規則,但有時可能不滿足實際需求,需要我們自定義規則,這裏簡單介紹下自定義規則的使用。 比如有個參數 country ,只能接收 'USA', 'Web',其餘校驗不通過,代碼如下: public

幽篁晓筑 2020-07-05 09:46:34

yii數據庫查詢自學筆記--命名空間

命名空間其實就是設置查詢條件,當然也可以用作update,delete的條件了。 要使用命名空間,就在AR類中覆蓋方法 scopes 。  廢話少說,示例如下: 在Tag類中覆蓋scopes :  //命名範圍測試 , 命名範圍這個函數

汪小熊 2020-07-02 20:23:53

獲取指定時間的前一天

PHP獲取指定日期的前一天 echo date("Y-m-d H:i:s",(strtotime("2016-12-23 16:14:59") - 3600*24)); mysql: 獲取當前日期(年月日): SELECT CURDA

我就SEI我啊 2020-06-30 12:58:08

Yii無限極分類

平時開發中或多或少不可避免會遇到無限極分類的問題,因爲效率、邏輯等問題也一直使這類問題比較尖銳。今天我們以yii2框架爲基礎,欄目無限極爲例,對這個問題進行一個簡單的處理。 首先我們有一張欄目數據表 tree 表結構如下圖(原文有圖)

我就SEI我啊 2020-06-30 12:57:56

Yii無限極分類2

控制器 public function actionIndex () { header("content-type:text/html;charset=utf-8"); //實例化enterprise這個model層 調

我就SEI我啊 2020-06-30 12:57:54

yii2使用隨記

1.時間範圍判斷 $machines = Machine::find() ->select('id,name') ->andFilterWhere(

艺菲 2020-06-30 07:50:04

Yii2中indexBy()的使用

在項目開發中經常會使用到一些特殊的值作爲數組的索引,一般可以先查詢出數據後數組循環拼接成所需的格式。不過YII2框架提供了一種更簡單的方法indexBy()。 參考Yii文檔:https://www.yiichina.com/do

幽篁晓筑 2020-06-25 14:44:20

Yii自定義加載配置文件

廢話不多說,寫本文的目的就是區分一些開發和生產環境當中把一些配置信息分開; 1、在項目目錄建立 一個 application.ini 文件 內容如下 [dev] model=dev class = 'yii\db\Connection'

wqzbxh 2020-06-25 13:24:51

Yii:多表聯查總結

1 多表聯查實現方法 有兩種方式一種使用DAO寫SQL語句實現,這種實現理解起來相對輕鬆,只要保證SQL語句不寫錯就行了。缺點也很明顯,比較零散,而且不符合YII的推薦框架,最重要的缺點在於容易寫錯。 還有一種便是下面要說的使用YII自帶

gcangle 2020-06-24 14:52:18

Yii-import-導入-自加載

用PHP變成最惱人的事情是用include和require加載額外的代碼。幸運的是你可以用SPL類加載器自動完成。 Yii緊緊依靠的就是自加載,當我們使用一個類,譬如,CDbCriteria,我們沒有明確的包含它,所以PHP起初不能找到它

pan354620815 2020-06-24 14:14:34

Yii - CHttpRequest - 處理請求

————在Yii中我們可以使用PHP超級全局變量像$_SERVER,$_GET或者$_POST來直接響應請求數據,但是是更好的方法是使用Yii強大的 CHttpRequest 類,它解決了在各種不同服務器中的不一致性,管理cookies,

pan354620815 2020-06-24 14:14:34

Yii-CComponent分析

— — — —Yii的CComponent是Yii的組件基礎類。組件機制,是Yii整個體系的思想精髓,在使用Yii之前,最應該先了解其組件機制,如果不瞭解這個機制,那麼閱讀Yii源代碼會非常喫力。組件機制給Yii框架賦予了無窮的靈活性和可

pan354620815 2020-06-24 14:14:34

Yii - 異常處理

Yii提供了一個完整的,基於PHP5異常處理的錯誤處理機制。當一個應用開始運行,進行用戶請求的處理的時候,會註冊 handleError 方法來處理PHP warnings和notices信息;同時也註冊 handleException

pan354620815 2020-06-24 14:14:33

Yii - main.php - 配置

Yii是個可定製的框架。main.php是Yii的配置文件,給我們提供了一個方便的方法來設置不同的應用組件,它位於(protected/config/)目錄下。 ———數據庫的配置——— return array( ...

pan354620815 2020-06-24 14:14:33