PHP開發api介面安全驗證步驟詳解

這次帶給大家PHP開發api介面安全驗證步驟詳解，PHP開發api介面安全驗證的注意事項有哪些，以下就是實戰案例，一起來看一下。

php的api介面

在實際工作中，使用PHP寫api介面是經常做的，PHP寫好介面後，前台就可以透過連結取得介面提供的數據，而傳回的資料一般分為兩種情況，xml和json,在這個過程中，伺服器並不知道，請求的來源是什麼，有可能是別人非法呼叫我們的接口，取得數據，因此就要使用安全驗證。

驗證原理

示意圖

原理

從圖中可以看得很清楚，前台想要呼叫接口，需要使用幾個參數來產生簽章。

時間戳記：當前時間

隨機數：隨機產生的隨機數

口令：前後台開發時，雙方都知道的標識，相當於暗號

演算法規則：商定好的運算規則，上面三個參數可以利用演算法規則產生一個簽章。

前台產生一個簽名，當需要存取介面的時候，把時間戳，隨機數，簽名透過URL傳遞到後台。後台拿到時間戳，隨機數後，透過一樣的演算法規則計算出簽名，然後和傳遞過來的簽名進行對比，一樣的話，回傳資料。

演算法規則

在前後互動中，演算法規則是非常重要的，前後台都要透過演算法規則計算出簽名，至於規則怎麼制定，看你怎麼高興怎麼來。

我這個演算法規則是

1 時間戳，隨機數，口令依照首字母大小寫順序排序

2 然後拼接成字串

3 進行sha1加密

4 再進行MD5加密

#5 轉換成大寫。

前台

這裡我並沒有實際的前台，直接使用一個PHP檔案取代前台，然後透過CURL模擬GET請求。我使用的是TP框架，URL格式是pathinfo格式。

原始碼

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/3/16 0016
 * Time: 15:56
 */
namespace Client\Controller;
use Think\Controller;
class ClientController extends Controller{
 const TOKEN = &#39;API&#39;;
 //模拟前台请求服务器api接口
 public function getDataFromServer(){
  //时间戳
  $timeStamp = time();
  //随机数
  $randomStr = $this -> createNonceStr();
  //生成签名
  $signature = $this -> arithmetic($timeStamp,$randomStr);
  //url地址
  $url = "http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";
  $result = $this -> httpGet($url);
  dump($result);
 }
 //curl模拟get请求。
 private function httpGet($url){
  $curl = curl_init();
  //需要请求的是哪个地址
  curl_setopt($curl,CURLOPT_URL,$url);
  //表示把请求的数据已文件流的方式输出到变量中
  curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
  $result = curl_exec($curl);
  curl_close($curl);
  return $result;
 }
 //随机生成字符串
 private function createNonceStr($length = 8) {
  $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
  $str = "";
  for ($i = 0; $i < $length; $i++) {
   $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
  }
  return "z".$str;
 }
 /**
  * @param $timeStamp 时间戳
  * @param $randomStr 随机字符串
  * @return string 返回签名
  */
 private function arithmetic($timeStamp,$randomStr){
  $arr[&#39;timeStamp&#39;] = $timeStamp;
  $arr[&#39;randomStr&#39;] = $randomStr;
  $arr[&#39;token&#39;] = self::TOKEN;
  //按照首字母大小写顺序排序
  sort($arr,SORT_STRING);
  //拼接成字符串
  $str = implode($arr);
  //进行加密
  $signature = sha1($str);
  $signature = md5($signature);
  //转换成大写
  $signature = strtoupper($signature);
  return $signature;
 }
}

伺服器端

接受前台資料進行驗證

原始碼

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2017/3/16 0016
 * Time: 16:01
 */
namespace Server\Controller;
use Think\Controller;
class ServerController extends Controller{
 const TOKEN = &#39;API&#39;;
 //响应前台的请求
 public function respond(){
  //验证身份
  $timeStamp = $_GET[&#39;t&#39;];
  $randomStr = $_GET[&#39;r&#39;];
  $signature = $_GET[&#39;s&#39;];
  $str = $this -> arithmetic($timeStamp,$randomStr);
  if($str != $signature){
   echo "-1";
   exit;
  }
  //模拟数据
  $arr[&#39;name&#39;] = &#39;api&#39;;
  $arr[&#39;age&#39;] = 15;
  $arr[&#39;address&#39;] = &#39;zz&#39;;
  $arr[&#39;ip&#39;] = "192.168.0.1";
  echo json_encode($arr);
 }
 /**
  * @param $timeStamp 时间戳
  * @param $randomStr 随机字符串
  * @return string 返回签名
  */
 public function arithmetic($timeStamp,$randomStr){
  $arr[&#39;timeStamp&#39;] = $timeStamp;
  $arr[&#39;randomStr&#39;] = $randomStr;
  $arr[&#39;token&#39;] = self::TOKEN;
  //按照首字母大小写顺序排序
  sort($arr,SORT_STRING);
  //拼接成字符串
  $str = implode($arr);
  //进行加密
  $signature = sha1($str);
  $signature = md5($signature);
  //转换成大写
  $signature = strtoupper($signature);
  return $signature;
 }
}

結果

#

string(57) "{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"

我相信看了本文案例你已經掌握了方法，更多精彩請關注php中文網其它相關文章！

推薦閱讀：

PHP基於CURL發送JSON格式字串步驟詳解

ThinkPHP框架使用者資訊查詢更新與刪除步驟詳解

以上是PHP開發api介面安全驗證步驟詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章！