在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。
验证原理
从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。
● 时间戳:当前时间
● 随机数:随机生成的随机数
● 口令:前后台开发时,一个双方都知道的标识,相当于暗号
● 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。
前台生成一个签名,当需要访问接口的时候,把时间戳,随机数,签名通过URL传递到后台。后台拿到时间戳,随机数后,通过一样的算法规则计算出签名,然后和传递过来的签名进行对比,一样的话,返回数据。
算法规则
在前后台交互中,算法规则是非常重要的,前后台都要通过算法规则计算出签名,至于规则怎么制定,看你怎么高兴怎么来。
我这个算法规则是
● 时间戳,随机数,口令按照首字母大小写顺序排序
● 然后拼接成字符串
● 进行sha1加密
● 再进行MD5加密
● 转换成大写。
前台
这里我并没有实际的前台,直接使用一个PHP文件代替前台,然后通过CURL模拟GET请求。
源代码
1 < ?php 2 3 class ClientController 4 { 5 const TOKEN = 'API'; 6 7 //模拟前台请求服务器api接口 8 public function getDataFromServer() 9 { 10 //时间戳 11 $timeStamp = time(); 12 //随机数 13 $randomStr = $this->createNonceStr();
14 //生成签名
15 $signature = $this->arithmetic($timeStamp, $randomStr);
16 //url地址
17 $url = "http://test.vc/server.php/?t={$timeStamp}&r={$randomStr}&s={$signature}";
18 $result = $this->httpGet($url);
19 var_dump($result);
20 }
21
22 //curl模拟get请求。
23 private function httpGet($url)
24 {
25 $curl = curl_init();
26 //需要请求的是哪个地址
27 curl_setopt($curl, CURLOPT_URL, $url);
28 //表示把请求的数据已文件流的方式输出到变量中
29 curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
30 $result = curl_exec($curl);
31 curl_close($curl);
32 return $result;
33 }
34
35 //随机生成字符串
36 private function createNonceStr($length = 8)
37 {
38 $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
39 $str = "";
40 for ($i = 0; $i < $length; $i++) { 41 $str .= substr($chars, mt_rand(0, strlen($chars) - 1), 1); 42 } 43 return "z" . $str; 44 } 45 46 /** 47 * @param $timeStamp 时间戳 48 * @param $randomStr 随机字符串 49 * @return string 返回签名 50 */ 51 private function arithmetic($timeStamp, $randomStr) 52 { 53 $arr['timeStamp'] = $timeStamp; 54 $arr['randomStr'] = $randomStr; 55 $arr['token'] = self::TOKEN; 56 //按照首字母大小写顺序排序 57 sort($arr, SORT_STRING); 58 //拼接成字符串 59 $str = implode($arr); 60 //进行加密 61 $signature = sha1($str); 62 $signature = md5($signature); 63 //转换成大写 64 $signature = strtoupper($signature); 65 return $signature; 66 } 67 } 68 69 $obj = new ClientController(); 70 $obj->getDataFromServer();
服务器端
接受前台数据进行验证
源代码
1 < ?php 2 3 class Server 4 { 5 const TOKEN = 'API'; 6 7 //响应前台的请求 8 public function respond() 9 { 10 //验证身份 11 $timeStamp = $_GET['t']; 12 $randomStr = $_GET['r']; 13 $signature = $_GET['s']; 14 $str = $this->arithmetic($timeStamp, $randomStr);
15 if ($str != $signature) {
16 echo "-1";
17 exit;
18 }
19 //模拟数据
20 $arr['name'] = 'api';
21 $arr['age'] = 15;
22 $arr['address'] = 'zz';
23 $arr['ip'] = "192.168.0.1";
24 echo json_encode($arr);
25 }
26
27 /**
28 * @param $timeStamp 时间戳
29 * @param $randomStr 随机字符串
30 * @return string 返回签名
31 */
32 public function arithmetic($timeStamp, $randomStr)
33 {
34 $arr['timeStamp'] = $timeStamp;
35 $arr['randomStr'] = $randomStr;
36 $arr['token'] = self::TOKEN;
37 //按照首字母大小写顺序排序
38 sort($arr, SORT_STRING);
39 //拼接成字符串
40 $str = implode($arr);
41 //进行加密
42 $signature = sha1($str);
43 $signature = md5($signature);
44 //转换成大写
45 $signature = strtoupper($signature);
46 return $signature;
47 }
48 }
49
50 $obj = new Server();
51 return $obj->respond();