简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

API共通の署名検証方法(PHP実装)

安安杰尼
リリース: 2023-04-08 15:12:02
オリジナル
198686 人が閲覧しました

使用シナリオ

現在、開発にフロントエンドとバックエンドの分離モデルを使用するプロジェクトが増えています。バックエンド開発者は API インターフェイスを使用して、処理と表示のためにデータをフロントエンド開発者に転送します。金銭やユーザー情報などが関与する、より重要なデータ インターフェイスの変更では、インターフェイスが保護および検証されていない場合、誰かが悪意を持ってインターフェイスを簡単にスワイプすることが多く、その結果、多大な損失が発生します。

API 署名検証

ここでは、インターフェイスのパラメータを暗号化するための、業界でより一般的な署名検証を紹介します。これには次の利点があります。

  • 要求された一意性: 計算された署名は一意であり、検証に使用できます。

  • パラメータの可変性: パラメータにはタイムスタンプ パラメータが含まれており、これによりリクエストごとに計算される署名が異なることが保証されます。

  • リクエスト エージング: リクエストには現在のリクエストのタイムスタンプ パラメーターが含まれているため、サーバーはタイムスタンプを確認し、エージング制限を超えるリクエストをフィルタリングできます。

  • セキュリティ: リクエストが悪意を持ってキャプチャされ、相手が悪意を持ってパラメータを改ざんした場合でも、署名は間違っており、パラメータは変更できません。

真実を実践してください

1. 署名されるマップ タイプのデータ (つまり、キーと値のペアのセット) を、鍵。マップ内のパラメータはアルファベット順に並べ替えられ、最初の文字が同じ場合は 2 番目の文字で並べ替えられます。たとえば、

{
    "timestamp": "2017-06-08 09:38:00",
    "format": "xml",
    "app_id": "aabbc",
    "cp_extend_info": "",
    "sign_type": "HMAC-SHA1",
    "sign": "abc"
}
ログイン後にコピー

は、並べ替え後に 

{
    "app_id": "aabbc",
    "cp_extend_info": "",
    "format": "xml",
    "sign_type": "HMAC-SHA1",
    "timestamp": "2017-06-08 09:38:00"
}
ログイン後にコピー

になります。 注: マップに署名パラメータ (sign) が含まれる場合、パラメータのキー値フィルタリングが必要です。署名に参加してください。値のないパラメータの署名には参加しないでください。

2. ソートされたマップを署名対象の文字列にシリアル化します。署名対象の結合された文字列は次のとおりです。 

app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00
ログイン後にコピー

3. キーを使用して、HMAC-SHA1 アルゴリズムに従って署名される文字列のダイジェスト (ハッシュ) 署名を抽出し、base64 エンコードします (明示的な送信と比較を容易にするため)。はテストであり、抽出されたダイジェスト署名は次のとおりです。base64_encode の値は 

JqoEqPIVVor0eyRHMYiZftsycVo=
ログイン後にコピー

注: 一部のデータは HTTP プロトコルで必要とされるため、ネットワーク送信中に URL エンコーディングを実行する必要があります。受信者が正しいパラメータを受信できることは保証されますが、このパラメータが署名に関与する場合、署名される文字列は URLencoding の値ではなく、文字列の元の値である必要があります。

コードの実践

PHP の例

/**
 * 使用密钥生成HMAC-Sha1签名
 * @param array $params 请求参数
 * @param string $signKey 签名密钥
 * @return string
 */
function hmacSha1Sign($params,$signKey)
{
    ksort($params);
 
    $paramString = '';
    foreach ($params as $key => $value) {
        if (is_null($value) || $value=='' || $key == 'sign') {
            continue;
        }
        $paramString .= $key.'='.$value.'&';
    }
    $paramString = substr($paramString,0,-1);
    $sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));
    return $sign;
}
ログイン後にコピー

上記は、日常の開発でよく使用される API 検証署名方法です。さらにチュートリアルをご覧いただくために、フォローを歓迎します。

以上がAPI共通の署名検証方法(PHP実装)の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
api
ソース:php.cn
前の記事:PHPでキャメルケースネーミングとアンダーラインネーミングの相互変換を実現 次の記事:PHP コードを使用して単純なファクトリ パターンを実装する
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
Nuxt.js SSG (静的サイトジェネレーター) API データの取得 静的サイトジェネレーターを使用してプロジェクトを構築する場合、事前に作成されたドキュメントがユーザーに提供されることを理解しています。ページに入ったときに axios を使ってデー...
から 2023-11-16 21:36:07
0
1
176
Guzzle 例外のキャッチ 開発中の API で実行されている一連のテストで例外をキャッチしようとしています。Guzzle を使用して API メソッドを使用しています。テストを try/catch ブロック...
から 2023-11-16 14:36:03
0
12
290
VueJS 3 の Axios 経由で Laravel API から PDF をダウンロードする こんにちは、私は VUEJS3 フロントエンドと Laravel8 バックエンドを持っています。 public/pdf/temp/file.pdf に保存された PDF をダウンロ...
から 2023-11-16 12:48:50
0
2
301
Vue 3 構成 API - すべての条件が満たされるまでフォーム送信ボタンを無効にする すべての入力フィールドが入力され、エラーがなくなるまで、フォーム送信ボタンを無効にしたいと考えています。 <button:disabled="disabled&qu...
から 2023-11-13 09:41:53
0
3
438
Laravel Eloquent を使用してフィルターとページネーションを実装する データベースからすべての顧客レコードを返す API を作成しようとしています。ただし、これによりページングとフィルタリングの機能が提供されます。 、フィルター関数はオプションのクエ...
から 2023-11-12 18:42:35
0
1
310
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!