Interface API php
Dans le travail réel, il est courant d'utiliser PHP pour écrire des interfaces API Une fois que PHP a écrit l'interface, la réception peut obtenir les données fournies par l'interface. via le lien. , et les données renvoyées sont généralement divisées en deux situations, xml et json. Dans ce processus, le serveur ne connaît pas la source de la demande. Il se peut que quelqu'un d'autre appelle illégalement notre interface pour obtenir des données. il est nécessaire d'utiliser la vérification de sécurité.
Principe de vérification
Schéma schématique
Principe
On voit clairement sur la photo que si la réception veut appeler l'interface, elle doit utiliser plusieurs paramètres pour générer une signature.
● Horodatage : heure actuelle
● Nombre aléatoire : nombre aléatoire généré aléatoirement
● Mot de passe : lors du développement front-end et back-end, un identifiant connu des deux parties , équivalent au mot de passe
● Règles d'algorithme : règles de fonctionnement convenues, les trois paramètres ci-dessus peuvent utiliser les règles d'algorithme pour générer une signature.
Le frontend génère une signature Lorsque l'accès à l'interface est requis, l'horodatage, le nombre aléatoire et la signature sont transmis au backend via l'URL. Après avoir obtenu l'horodatage et le nombre aléatoire en arrière-plan, il calcule la signature selon les mêmes règles d'algorithme, puis la compare avec la signature transmise. Si elle est identique, les données sont renvoyées.
Règles d'algorithme
Dans les interactions front-end et back-end, les règles d'algorithme sont très importantes. Le front-end et le back-end doivent calculer les signatures via des règles d'algorithme. . Quant à la façon de formuler les règles, voir Venez comme bon vous semble.
Les règles de mon algorithme sont
● Les horodatages, les nombres aléatoires et les mots de passe sont triés par ordre de cas
● puis assemblés en chaînes
● Effectuez le cryptage sha1
● Effectuez ensuite le cryptage MD5
● Convertissez en majuscules.
Réception
Je n'ai pas de véritable réception ici, j'utilise directement un fichier PHP à la place de la réception, puis je simule une requête GET via BOUCLE. J'utilise le framework TP et le format URL est le format pathinfo.
Code source
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 |
|
Côté serveur
Accepter les données frontales pour vérification
Source Code
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 |
|
Résultat
1 |
|
Résumé
Cette méthode n'est qu'une des méthodes, en fait Là Il existe de nombreuses façons d'effectuer une vérification de sécurité.
Pour plus de connaissances sur PHP, veuillez visiter le Tutoriel PHP !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!