亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

開發中常用的API驗證簽名方式

發布時間:2020-05-20 16:00:33 來源:億速云 閱讀:336 作者:鴿子 欄目:編程語言

使用場景

現在越來越多的項目使用的前后端分離的模式進行開發,后端開發人員使用API接口傳遞數據給到前端開發進行處理展示,在一些比較重要的修改數據接口,涉及金錢,用戶信息等修改的接口如果不做防護驗證,經常容易被人惡意刷接口,導致巨大的損失。

API簽名驗證

這里我們引入業內比較通用的簽名驗證來對接口進行參數加密,有以下優勢。

  • 請求的唯一性:計算出的簽名是唯一的,可以用來驗證。

  • 參數的可變性:參數中包含時間戳參數,這就保證每次的請求計算出得簽名都是不一樣的。

  • 請求的時效:由于請求中帶有當前發起請求的時間戳參數,服務端可以對時間戳進行驗證,過濾超出時效的請求。

  • 安全性:即使請求被人惡意抓包,對方惡意篡改其中的參數,那么簽名都是錯誤的,參數無法修改。

實踐出真理

1. 對map類型(即一組鍵值對)的待簽名數據根據鍵的大小進行排序。map中各參數按字母順序排序,如果第一個字母相同,按第二個字母排序,依次類推。例如

{
    "timestamp": "2017-06-08 09:38:00",
    "format": "xml",
    "app_id": "aabbc",
    "cp_extend_info": "",
    "sign_type": "HMAC-SHA1",
    "sign": "abc"
}

那么,排序后變成

{
    "app_id": "aabbc",
    "cp_extend_info": "",
    "format": "xml",
    "sign_type": "HMAC-SHA1",
    "timestamp": "2017-06-08 09:38:00"
}

注意:如果map中包含簽名的參數(sign)需要過濾該參數的鍵值不參與簽名,沒有值的參數請不要參與簽名

2. 對排序后的map進行序列化處理成待簽名字符串,拼接后的待簽名字符串為

app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00

3. 根據HMAC-SHA1算法使用密鑰提取待簽名字符串的摘要(hash)簽名并進行base64_encode編碼(便于顯性傳輸和對比),假設簽名密鑰為 test ,則提取出的摘要簽名并進行base64_encode的值為

JqoEqPIVVor0eyRHMYiZftsycVo=

注意:由于有些數據根據HTTP協議需求,在網絡傳輸過程中需要進行URLencoding,這樣接收方才可以接收到正確的參數,但如果這個參數參與簽名,那么待簽名字符串必須是字符串原值而非URLencoding 的值。

代碼實踐

PHP示例

/**
 * 使用密鑰生成HMAC-Sha1簽名
 * @param array $params 請求參數
 * @param string $signKey 簽名密鑰
 * @return string
 */
function hmacSha1Sign($params,$signKey)
{
    ksort($params);
 
    $paramString = '';
    foreach ($params as $key => $value) {
        if (is_null($value) || $value=='' || $key == 'sign') {
            continue;
        }
        $paramString .= $key.'='.$value.'&';
    }
    $paramString = substr($paramString,0,-1);
    $sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));
    return $sign;
}

以上就是日常開發中常用的API驗證簽名方式,很簡單又非常使用,歡迎關注獲取更多的教程。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

横山县| 蒙自县| 贵定县| 葵青区| 财经| 三原县| 永新县| 页游| 老河口市| 汾西县| 隆子县| 开化县| 河北省| 舞钢市| 布尔津县| 铅山县| 晋宁县| 新乐市| 柏乡县| 青龙| 开鲁县| 南通市| 黑河市| 闻喜县| 和平区| 乌恰县| 府谷县| 石首市| 彰武县| 库车县| 会理县| 广德县| 天祝| 惠州市| 东阳市| 成安县| 临武县| 马鞍山市| 民丰县| 赣州市| 甘洛县|