PHP開發api接口安全驗證操作實例詳解

本文實例講述了PHP開發api接口安全驗證操作.分享給大家供大家參考，具體如下：

php的api接口

在PHP的開發工作中，對API接口開發不會陌生，后端人員寫好接口后，前臺就可以通過鏈接獲取接口提供的數據，而返回的數據一般分為兩種情況，xml和json, 在這個過程中，服務器并不知道，請求的來源是什么，有可能是別人非法調用我們的接口，獲取數據，因此就要使用安全驗證來屏蔽某些調用。

驗證原理示意圖原理

從圖中可以看得很清楚，前臺想要調用接口，需要使用幾個參數生成簽名?！?時間戳：當前時間● 隨機數：隨機生成的隨機數● 口令：前后臺開發時，一個雙方都知道的標識，相當于暗號● 算法規則：商定好的運算規則，上面三個參數可以利用算法規則生成一個簽名。

前臺生成一個簽名，當需要訪問接口的時候，把時間戳，隨機數，簽名三個參數通過URL傳遞到后臺。后臺拿到時間戳，隨機數后，通過一樣的算法規則計算出簽名，然后和傳遞過來的簽名進行對比，一樣的話，返回數據。

算法規則

在前后臺交互中，算法規則是非常重要的，前后臺都要通過算法規則計算出簽名，至于規則怎么制定，前后端協商確定。

我這個算法規則是

● 時間戳，隨機數，口令按照首字母大小寫順序排序● 然后拼接成字符串● 進行sha1加密● 再進行MD5加密● 轉換成大寫。

前臺

這里我并沒有實際的前臺，直接使用一個PHP文件代替前臺，然后通過CURL模擬GET請求。我使用的是TP框架，URL格式是pathinfo格式。

源代碼

namespace appservicecontroller;use thinkcontroller;class CheckUrl extends Controller{ const TOKEN = ’API’; // 前后端統一的口令 //響應前臺的請求 public function respond(){ //驗證身份 $timeStamp = $_GET[’t’]; // 時間戳 $randomStr = $_GET[’r’]; // 隨機字符串 $signature = $_GET[’s’]; //簽名 $str = $this -> arithmetic($timeStamp, $randomStr); if($str != $signature){ return [’status’ => 0, ’msg’ => ’驗證失敗’, ’data’ => []]; } } /** * @param $timeStamp 時間戳 * @param $randomStr 隨機字符串 * @return string 返回簽名 */ public function arithmetic($timeStamp, $randomStr){$arr = [’timeStamp’ => $timeStamp,’randomStr’ => $randomStr,’token’ => self::TOKEN]; //按照首字母大小寫順序排序 sort($arr,SORT_STRING); //拼接成字符串 $str = implode($arr); //進行加密 $signature = sha1($str); $signature = md5($signature); //轉換成大寫 $signature = strtoupper($signature); return $signature; }}

這種方法只是其中的一種方法，其實還有很多方法都是可以進行安全驗證的。

實例展示php表單安全驗證

這篇文章主要介紹了php token使用與驗證方法,通過對form表單hidden提交字段的處理實現token驗證功能,防止非法來源數據的訪問。

token功能簡述 PHP 使用token驗證可有效的防止非法來源數據提交訪問，增加數據操作的安全性 實現方法 前臺form表單：

<form action='do.php' method='POST'><?php $module=mt_rand(100000,999999);?> <input type='text' name='sec_name' value=''/> // 實際要傳遞的值 <input type='hidden' name='module' value='<?php echo $module;?>'/> <input type='hidden' name='timestamp' value='<?php echo time();?>'/> <input type='hidden' name='token' value='<?php echo md5($module.’#$@%!^*’.time());?>'/></form>

后臺do.php的token驗證部分：

$module = $_POST[’module’];$timestamp = $_POST[’timestamp’];$token = md5($module.’#$@%!^*’.$timestamp);if($token != $_POST[’token’]){return [’status’ => 0, ’msg’ => ’非法數據來源’, ’data’ => []];}$sec_name=$_POST[’sec_name’];//PHP數據處理.....

更多關于PHP相關內容感興趣的讀者可查看本站專題：《php程序設計安全教程》、《php安全過濾技巧總結》、《PHP基本語法入門教程》、《php面向對象程序設計入門教程》、《php字符串(string)用法總結》、《php+mysql數據庫操作入門教程》及《php常見數據庫操作技巧匯總》

希望本文所述對大家PHP程序設計有所幫助。