使用場景

現(xiàn)在越來越多的專案使用的前後端分離的模式進行開發(fā)，後端開發(fā)人員使用API??介面?zhèn)鬟f資料給到前端開發(fā)進行處理展示，在一些比較重要的修改資料接口，涉及金錢，使用者資訊等修改的接口如果不做防護驗證，經(jīng)常容易被人惡意刷接口，導致巨大的損失。

API簽章驗證

這裡我們引入業(yè)內(nèi)比較通用的簽章驗證來對介面進行參數(shù)加密，有以下優(yōu)勢。

• 請求的唯一性：計算的簽章是唯一的，可以用來驗證。

• 參數(shù)的可變性：參數(shù)包含時間戳參數(shù)，這就確保每次的請求計算出得簽名都是不一樣的。

• 請求的時效：由於請求中帶有目前發(fā)起請求的時間戳參數(shù)，服務端可以對時間戳進行驗證，過濾超出時效的請求。

• 安全：即使請求被人惡意抓包，對方惡意竄改其中的參數(shù)，那麼簽章都是錯的，參數(shù)無法修改。

實踐真理

1. 對map類型（即一組鍵值對）的待簽章資料根據(jù)鍵的大小進行排序。 map中各參數(shù)依字母順序排序,如果第一個字母相同,按第二個字母排序,依次類推。例如

{
    "timestamp": "2017-06-08 09:38:00",
    "format": "xml",
    "app_id": "aabbc",
    "cp_extend_info": "",
    "sign_type": "HMAC-SHA1",
    "sign": "abc"
}

那麼，排序後變成

{
    "app_id": "aabbc",
    "cp_extend_info": "",
    "format": "xml",
    "sign_type": "HMAC-SHA1",
    "timestamp": "2017-06-08 09:38:00"
}

注意：如果map包含簽名的參數(shù)(sign)需要過濾該參數(shù)的鍵值不參與簽名，沒有值的參數(shù)請不要參與簽名

2. 對排序後的map進行序列化處理成待簽名字串，拼接後的待簽名字串為

app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00

3.?根據(jù)HMAC-SHA1演算法使用金鑰提取待簽章字串的摘要（hash）簽章並進行base64_encode編碼（便於顯性傳輸與比較），假設簽章金鑰為test ，則擷取的摘要簽章並進行base64_encode的值為

JqoEqPIVVor0eyRHMYiZftsycVo=

注意：由於有些資料根據(jù)HTTP協(xié)定需求,在網(wǎng)路傳輸過程中需要進行URLencoding,這樣接收方才可以接收到正確的參數(shù),但如果這個參數(shù)參與簽章,那麼待簽章字串必須是字串原值而非URLencoding 的值。

程式碼實作

PHP範例

/**
 * 使用密鑰生成HMAC-Sha1簽名
 * @param array $params 請求參數(shù)
 * @param string $signKey 簽名密鑰
 * @return string
 */
function hmacSha1Sign($params,$signKey)
{
    ksort($params);
 
    $paramString = '';
    foreach ($params as $key => $value) {
        if (is_null($value) || $value=='' || $key == 'sign') {
            continue;
        }
        $paramString .= $key.'='.$value.'&';
    }
    $paramString = substr($paramString,0,-1);
    $sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));
    return $sign;
}

以上就是日常開發(fā)常用的API驗證簽章方式，很簡單又非常使用，歡迎關注以獲取更多的教學。

以上是API常用簽章驗證方法(PHP實作)的詳細內(nèi)容。更多資訊請關注PHP中文網(wǎng)其他相關文章！