PHP開発APIインターフェースのセキュリティ検証手順の詳細な説明-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP開発APIインターフェースのセキュリティ検証手順の詳細な説明

php中世界最好的语言

May 17, 2018 pm 03:19 PM

api php ステップ

今回は、PHP 開発 API インターフェースのセキュリティ検証手順について詳しく説明します。以下は、PHP 開発 API インターフェースのセキュリティ検証の注意事項について説明します。。

php APIインターフェース

実際の作業では、PHPを使用してAPIインターフェースを記述するのが一般的で、PHPがインターフェースを作成した後、フロントデスクはリンクを通じてインターフェースによって提供されるデータを取得し、返されるデータを取得できます。データは通常、xml と json の 2 つのケースに分けられます。このプロセス中、サーバーはリクエストのソースを認識していません。他の誰かがデータを取得するために当社のインターフェースを不正に呼び出している可能性があるため、セキュリティ検証を使用する必要があります。

検証原理

概略図

原理

フロントデスクがインターフェースを呼び出したい場合、いくつかのインターフェースを使用する必要があることが写真からはっきりとわかります。パラメータを使用して署名を生成します。

タイムスタンプ: 現在時刻

乱数: ランダムに生成された乱数

パスワード: フロントエンドとバックエンドの開発中に、双方が知っている秘密コードに相当する識別子

アルゴリズムルール: 合意された操作ルール、上記 3 つのパラメータを使用して、アルゴリズムルールを使用して署名を生成できます。

フロントエンドは署名を生成し、インターフェースにアクセスする必要がある場合、タイムスタンプ、乱数、署名が URL を通じてバックエンドに渡されます。バックグラウンドでタイムスタンプと乱数を取得した後、同じアルゴリズムルールに従って署名を計算し、渡された署名と比較し、同じであればデータを返します。

アルゴリズムルール

フロントエンドとバックエンドの相互作用では、アルゴリズムルールはフロントエンドとバックエンドの両方でアルゴリズムルールを介して計算する必要があります。好み次第です。

私のアルゴリズムのルールは

1 タイムスタンプ、乱数、パスワードを最初の文字の順に並べ替えます

2 それを文字列につなぎ合わせます

3 SHA1暗号化を実行します

4 次にMD5暗号化を実行します

5 大文字に変換します。

フロントデスク

ここには実際のフロントデスクがありません。フロントデスクの代わりに PHP ファイルを直接使用し、CURL を介して GET リクエストをシミュレートします。 TP フレームワークを使用しており、URL 形式は pathinfo 形式です。

ソースコード

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/3/16 0016
 * Time: 15:56
 */
namespace Client\Controller;
use Think\Controller;
class ClientController extends Controller{
 const TOKEN = &#39;API&#39;;
 //模拟前台请求服务器api接口
 public function getDataFromServer(){
  //时间戳
  $timeStamp = time();
  //随机数
  $randomStr = $this -> createNonceStr();
  //生成签名
  $signature = $this -> arithmetic($timeStamp,$randomStr);
  //url地址
  $url = "http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";
  $result = $this -> httpGet($url);
  dump($result);
 }
 //curl模拟get请求。
 private function httpGet($url){
  $curl = curl_init();
  //需要请求的是哪个地址
  curl_setopt($curl,CURLOPT_URL,$url);
  //表示把请求的数据已文件流的方式输出到变量中
  curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
  $result = curl_exec($curl);
  curl_close($curl);
  return $result;
 }
 //随机生成字符串
 private function createNonceStr($length = 8) {
  $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
  $str = "";
  for ($i = 0; $i < $length; $i++) {
   $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
  }
  return "z".$str;
 }
 /**
  * @param $timeStamp 时间戳
  * @param $randomStr 随机字符串
  * @return string 返回签名
  */
 private function arithmetic($timeStamp,$randomStr){
  $arr[&#39;timeStamp&#39;] = $timeStamp;
  $arr[&#39;randomStr&#39;] = $randomStr;
  $arr[&#39;token&#39;] = self::TOKEN;
  //按照首字母大小写顺序排序
  sort($arr,SORT_STRING);
  //拼接成字符串
  $str = implode($arr);
  //进行加密
  $signature = sha1($str);
  $signature = md5($signature);
  //转换成大写
  $signature = strtoupper($signature);
  return $signature;
 }
}

ログイン後にコピー

サーバー側

検証のためにフロントエンドデータを受け入れる

ソースコード

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/3/16 0016
 * Time: 16:01
 */
namespace Server\Controller;
use Think\Controller;
class ServerController extends Controller{
 const TOKEN = &#39;API&#39;;
 //响应前台的请求
 public function respond(){
  //验证身份
  $timeStamp = $_GET[&#39;t&#39;];
  $randomStr = $_GET[&#39;r&#39;];
  $signature = $_GET[&#39;s&#39;];
  $str = $this -> arithmetic($timeStamp,$randomStr);
  if($str != $signature){
   echo "-1";
   exit;
  }
  //模拟数据
  $arr[&#39;name&#39;] = &#39;api&#39;;
  $arr[&#39;age&#39;] = 15;
  $arr[&#39;address&#39;] = &#39;zz&#39;;
  $arr[&#39;ip&#39;] = "192.168.0.1";
  echo json_encode($arr);
 }
 /**
  * @param $timeStamp 时间戳
  * @param $randomStr 随机字符串
  * @return string 返回签名
  */
 public function arithmetic($timeStamp,$randomStr){
  $arr[&#39;timeStamp&#39;] = $timeStamp;
  $arr[&#39;randomStr&#39;] = $randomStr;
  $arr[&#39;token&#39;] = self::TOKEN;
  //按照首字母大小写顺序排序
  sort($arr,SORT_STRING);
  //拼接成字符串
  $str = implode($arr);
  //进行加密
  $signature = sha1($str);
  $signature = md5($signature);
  //转换成大写
  $signature = strtoupper($signature);
  return $signature;
 }
}

ログイン後にコピー

結果

string(57) "{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"

ログイン後にコピー

あなたはこの記事を読んだと思います方法をマスターしました。さらにエキサイティングなコンテンツについては、php 中国語 Web サイトの他の関連記事にご注目ください。

推奨読書:

PHP が CURL に基づいて JSON 形式の文字列を送信する手順の詳細な説明

ThinkPHP フレームワークのユーザー情報クエリの更新および削除手順の詳細な説明

以上がPHP開発APIインターフェースのセキュリティ検証手順の詳細な説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

ホットトピック

Gmailメールのログイン入り口はどこですか？

7323

Java チュートリアル

1625

CakePHP チュートリアル

1350

Laravel チュートリアル

1262

PHP チュートリアル

1209

Related knowledge

CakePHP プロジェクトの構成 Sep 10, 2024 pm 05:25 PM

この章では、CakePHP の環境変数、一般設定、データベース設定、電子メール設定について理解します。

Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレードガイド Dec 24, 2024 pm 04:42 PM

PHP 8.4 では、いくつかの新機能、セキュリティの改善、パフォーマンスの改善が行われ、かなりの量の機能の非推奨と削除が行われています。このガイドでは、Ubuntu、Debian、またはその派生版に PHP 8.4 をインストールする方法、または PHP 8.4 にアップグレードする方法について説明します。