> 백엔드 개발 > PHP 튜토리얼 > API 권한 기능 설계 방법 및 시스템 서명 확인 규칙 구현 방법

API 권한 기능 설계 방법 및 시스템 서명 확인 규칙 구현 방법

桉梓
풀어 주다: 2020-10-19 14:07:11
원래의
214명이 탐색했습니다.

网络安全越来越发达的今天, 系统安全是每一位开发者都需要考虑的问题, 比如用户注册, 如果提交的数据不做安全验证, 那么有些人或许会提交一堆的垃圾数据,久而久之你的数据库中的僵死数据会非常的多,影响正常数据的查询效率,同时你的系统也许就在某一天over了。所以安全一直都是我们工作考虑的重点。那么一般都会对提交的数据做安全的验证 比如通用的sign加密验证,sign究竟是怎么个验证方法呢?

1、首先是数据库api表结构设计, 表结构的设计取决于自己的情况最基本的设计:

字段:

id
int(11)
not null
primary_key   
Api_name
Varchar(32) 
not null
应用的 id

key
secret

Varchar(32) 

varchar

not null
 not null 

应用的 key
应用的密钥

2、上面还没有提到sign,究竟是怎么的回事儿呢?

第二步就是生成自己的sign, 每次提交的数据都要加上sign提交给后台。Sign的算法一般都是采用对提交的数据进行排序后+secret后MD5:

$key = "c4ca4238a0b923820dcc509a6f75849b";  
$secret = "28c8edde3d61a0411511d3b1866f0636";
如:
$data = array(    
    'username' => 'anziguoer@sina.com',     
    'sex' => '男',    
    'age' => '12',        
    'addr' => '北京市海淀区'    
 );    
 // 传递的参数中必须有key, sign, timestamp     $postData = array(        "key" => $key,        "timestamp" => time()      );
로그인 후 복사

一般情况提交到后台的数据在除了要提交的信息还要加上一些验证的数据 ($postData就是这样的数据)
将用户提交的数据和必须的参数一起排序(正序或者是倒序都可以, 子要保证验证的算法和加密的算法一致即可)

// 获取sign
 function getSign($secret, $data)
  {          // 对数组的值按key排序
      ksort($data);          // 生成url的形式
      $params = http_build_query($data);  // 生成sign
      $sign = md5($params.$secret);          
      return $sign;
  }
 //将用户的数据和默认的数据合并
 $psotData = array_merge($postData, $data);
 // 发送的数据中吧sign带上
 $psotData[‘sign’] = getSign($secret, $data);
로그인 후 복사

数据组合好后可以吧数据发送到后台

3、第三步就是在服务器端吧得到的数据进行验证处理.

对必须的参数进行验证:

通过key在api的数据库中查找是否存在secret的值,没有则验证失败对传递过来的数据中验证sign参数是否存在, 不存在, 验证失败。对时间’timestamp’参数进行验证,大于10分钟的数据验证失败。对发送出去sign的所有参数进行验证, 生成的和传递过来的sign参数是否一致, 不一致验证失败。如果上面的有验证通过后就可以执行下面的逻辑代码.

/**
   * 验证sign是否合法
   * @param  [type] $secret [description]
   * @param  [type] $data   [description]
   * @return [type]         [description]
   */
   function verifySign($secret, $data)
   {       // 验证参数中是否有签名
       if (!isset($data['sign']) || !$data['sign']) {           echo '发送的数据签名不存在';           die();
       }       if (!isset($data['timestamp']) || !$data['timestamp']) {           echo '发送的数据参数不合法';           die();
       }       // 验证请求, 10分钟失效
       if (time() - $data['timestamp'] > 600) {           echo '验证失效, 请重新发送请求';           die();
       }
       $sign = $data['sign'];       unset($data['sign']);
       ksort($data);
       $params = http_build_query($data);       // $secret是通过key在api的数据库中查询得到
       $sign2 = md5($params.$secret);       if ($sign == $sign2) {           die('验证通过');
       }else{           die('请求不合法');
       }
   }
로그인 후 복사

最后送上腾讯的sign加密原理:
http://www.qcloud.com/wiki/签名参数sign生成说明

위 내용은 API 권한 기능 설계 방법 및 시스템 서명 확인 규칙 구현 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
1
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿