在做api開發時，簽名驗證怎麼設計?

心无引擎,眼无流派發表於2024-05-28

API

開發過程中，我們經常會與介面打交道，有的時候是呼叫別人網站的介面，有的時候是為了他人提供自己網站的介面，但是在呼叫去過程離不開簽名驗證。

設計簽名驗證的時候，需要注意以下幾點：

1.可變性：每次的簽名必須是不一樣的。

2.時效性：每次請求的時效，過期作廢等

3.唯一性：每次的簽名是唯一的

4.完整性：能夠對傳入的資料進行驗證，防止篡改

這裡介紹一種方式：

一,簽名引數sign生成的方法

第1步：將所有引數（注意是所有引數），出去sign本身，以及值是空的引數，按照引數名字母升序排序。

第2步：然後把排序後的引數按引數1值1引數2值2.....引數n值n(這裡的引數和值必須是傳輸引數的原始值，不能是經過處理的，如不能將轉成後再拼接)的方式拼接成一個字串。

第3步：把分配給接入方的驗證秘鑰key拼接在第2步得到的字串的前面

第4步：在上一步得到的字串前面加上驗證秘鑰key，然後計算md5值，得到32位字串，然後轉成大寫。

第5步：計算第4步字串的md5值（32位），然後轉為大寫，得到的字元作為sign的值

舉例：

假設傳輸的資料是/iinterface.php?sign=sign_value&p2=v2&p1=v1$method=cancel&p3=&pn=vn(實際情況最好是透過post方式傳遞)，其中sign引數對應的sing_value就是簽名的值。

第一步，拼接字串，首先去除sign引數本身，然後去除值是空的引數p3，剩下p2=v2&p1=v1&method=cancel& amp;pn=vn，然後按引數名字元升序排序，method=cancel&p1=v1&p2=v2&pn=vn.

第二步，然後做引數名和值的拼接，最後得到methodcancelp1v1p2v2pnvn

第三步，在上面拼接得到的字串前加上驗證金鑰key，我們假設是abc，得到新的字串abcmethodcancelp1v1p2v2pnvn

第四步，然後將這個字串進行md5計算，假設得到的是abcdef，然後轉為大寫，得到ABCDEF這個值即為sign簽名值。

注意，計算md5之前請確保介面與接入方的字串編碼一致，如統一使用utf-8編碼或者GBK編碼，如果編碼方式不一致則計算出來的簽名會校驗失敗。‘

二、簽名驗證方法：

根據前面描述的簽名引數sign生成的方法規則，計算得到引數的簽名值，和引數中傳遞過來sign對應的引數值進行對比，如果是一致就校驗透過，說明引數沒有被修改過。

三、下面直接看程式碼

<?php

// 設定一個公鑰(key)和私鑰(secret)，公鑰用於區分使用者，私鑰加密資料，不能公開
$key = "c4ca4238a0b923820dcc509a6f75849b";
$secret = "28c8edde3d61a0411511d3b1866f0636";

// 待傳送的資料包
$data = array(
    'username' => 'abc@qq.com',
    'sex' => '1',
    'age' => '16',
    'addr' => 'guangzhou',
    'key' => $key,
    'timestamp' => time(),
);

// 獲取sign
function getSign($secret, $data) {
    // 對陣列的值按key排序
    ksort($data);
　　 // 生成url的形式
    $params = http_build_query($data); //http_build_query()
    // 生成sign
    $sign = md5($params . $secret); //md5()
    return $sign;
}

// 傳送的資料加上sign
$data['sign'] = getSign($secret, $data);

/**
 * 後臺驗證sign是否合法
 * @param  [type] $secret [description]
 * @param  [type] $data   [description]
 * @return [type]         [description]
 */
function verifySign($secret, $data) {
    // 驗證引數中是否有簽名
    if (!isset($data['sign']) || !$data['sign']) {
        echo '傳送的資料簽名不存在';
        die();
    }
    if (!isset($data['timestamp']) || !$data['timestamp']) {
        echo '傳送的資料引數不合法';
        die();
    }
    // 驗證請求， 10分鐘失效
    if (time() - $data['timestamp'] > 600) {
        echo '驗證失效， 請重新傳送請求';
        die();
    }
    $sign = $data['sign'];
    unset($data['sign']);
    ksort($data);
    $params = http_build_query($data);
    // $secret是透過key在api的資料庫中查詢得到
    $sign2 = md5($params . $secret);
    if ($sign == $sign2) {
        die('驗證透過');
    } else {
        die('請求不合法');
    }
}

API介面的安全設計驗證—ticket，簽名，時間戳
2021-01-05
API時間戳
API 介面的安全設計驗證：ticket，簽名，時間戳
2022-02-13
API時間戳
PHP做api開發離不開簽名驗證，我這樣設計
2021-12-29
PHPAPI
Api介面簽名驗證
2020-06-16
API
開放api介面簽名驗證，新增sign，時間戳
2020-11-04
API時間戳
簡單API介面簽名驗證
2018-08-22
API
REST API簽名認證機制
2018-11-28
RESTAPI
遇到程式碼簽名證書出錯怎麼辦
2022-11-28
Java 新增、驗證PDF 數字簽名
2019-07-30
Java
如何驗證 Bitcoin Core 軟體簽名
2019-03-29
windows無法驗證此檔案的數字簽名什麼原因怎麼解決
2022-09-16
Windows
win10 outlook怎麼設定簽名_win10如何設定outlook簽名
2020-08-03
Win10
為什麼我對簽名訊息的簽名驗證在PHP程式碼中未工作？
2018-07-20
PHP
ios簽名證書：什麼是證書？
2019-12-30
iOS
怎麼使用iOS證書來申請簽名檔案
2020-03-25
iOS
什麼是自簽名證書？自簽名SSL證書的優缺點?
2021-10-19
效能：驗證數字簽名導致卡死
2014-05-14
什麼是自簽名SSL證書？自簽名證書有哪些安全隱患？
2022-11-14
[實戰]API防護破解之簽名驗籤
2024-03-13
API
程式碼簽名證書申請時需要注意什麼
2023-04-25
蘋果簽名該怎麼去選擇呢？iOS企業簽名-企業簽名
2021-05-18
蘋果iOS
Android開發 - Retrofit 2 使用自簽名的HTTPS證書進行API請求
2018-10-19
AndroidHTTPAPI
為什麼驅動程式簽名需要EV程式碼簽名證書
2023-03-07
IOS企業簽名的APP怎麼做分發？
2020-10-30
iOSAPP
程式碼簽名證書是如何進行驗證工作的
2023-01-17
蘋果企業簽名騙子太多——我們又該如何驗證簽名真假（一）
2019-12-25
蘋果
蘋果企業簽名怎麼做？
2021-03-24
蘋果
Windows 硬體開發人員怎樣選擇程式碼簽名證書型別
2016-05-17
Windows型別
Laravel 5 API 服務端支援簽名授權認證
2019-02-16
LaravelAPI服務端
文件數字簽名工作原理是什麼?文件簽名有什麼好處?哪些行業使用文件簽名證書?
2021-08-05
行業
win10 禁止驗證數字簽名方法 win10 如何禁用數字簽名
2020-09-29
Win10
iOS證書籤名機制&重簽名&防止重簽名
2019-12-04
iOS
tkinter調取簽名網而設計簽名頁面（十七）
2018-04-20
IPA簽名怎麼進行重籤
2020-04-30
程式碼簽名證書
2024-03-29
go語言簽發和驗證license
2024-07-28
Go
FDA ESG的數字簽名證書是什麼？怎麼獲取FDA ESG 數字證書？
2021-09-15
iOS企業簽名掉籤的時候應該怎麼做？
2021-05-17
iOS

在做api開發時，簽名驗證怎麼設計?

相關文章