php接口怎么保证安全性

内容导读

收集整理的这篇技术教程文章主要介绍了php接口怎么保证安全性，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含3181字，纯文字阅读大概需要5分钟。

内容图文

接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用，下面具体来看：

(1)Token授权机制：(Token是客户端访问服务端的凭证)--用户使用用户名密码登录后服务器给客户端返回一个Token（通常是UUID），并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证，如果Token不存在，说明请求无效。（推荐学习：PHP编程从入门到精通）

(2)时间戳超时机制：(签名机制保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp，服务端接收到timestamp后跟当前时间进行比对，如果时间差大于一定时间（比如5分钟），则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。

(3)签名机制：将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法（可根据情况加点盐）加密，加密后的数据就是本次请求的签名sign，服务端接收到请求后以同样的算法得到签名，并跟当前的签名进行比对，如果不一样，说明参数被更改过，直接返回错误标识。

/** * @desc 接受参数处理 */private function dealParam(){    //接受header参数--系统参数    $systemParam=getAllHeadersParam();    //接受body数据--业务参数(json格式)    $data=file_get_contents('php://input');        //读取配置文件中的私钥信息    $api_apiKey=C('api_apiKey');    $privatekey=$api_apiKey[$systemParam['token']];    $arr['token']    =$systemParam['token'];        //服务端分配的标识(不同客户端需使用不同的标识)    $arr['timestamp']=$systemParam['timestamp'];    //时间戳，UTC时间，以北京时间东八区（+8）为准    $arr['version']  =$systemParam['version'];      //版本号    $arr['sign']     =$systemParam['sign'];         //签名    $arr['source']   =$systemParam['source'];       //来源(0-安卓/1-IOS/2-H5/3-PC/4-php/5-java)    $arr['data'] =json_decode($data,true); //业务参数json格式     $arr['method'] =$data['method']; //访问接口,格式:模型名.方法名     return $arr; }

/* * @desc 获取所有以HTTP开头的header参数 * @return array */private function getAllHeadersParam(){   $headers = array();   foreach($_SERVER as $key=>$value){       if(substr($key, 0, 5)==='HTTP_'){           $key = substr($key, 5);           $key = str_replace('_', ' ', $key);           $key = str_replace(' ', '-', $key);           $key = strtolower($key);           $headers[$key] = $value;       }   }   return $headers;}

/* * @desc 签名校验 * @param $token string 服务端分配的标识(不同客户端需使用不同的标识) * @param $timestamp string 时间戳，UTC时间，以北京时间东八区（+8）为准 * @param $version string 版本号 * @param $sign string 签名 * @param $source int 来源(0-安卓/1-IOS/2-H5/3-PC/4-php/5-java) * @param $privatekey string 私钥 * @param $data 业务参数json格式 * @return bool */private function checkAuth($token,$timestamp,$version,$sign,$source,$privatekey,$data){        //参数判断        if(empty($token)){            E('token不能为空！');        }        if(empty($timestamp)){            E('时间戳不能为空！');        }        if(empty($version)){            E('版本号不能为空！');        }        if(empty($data)){            E('业务参数不能为空！');        }        if(empty($source) && $source<>'0'){            E('来源不能为空！');        }        if(empty($sign)){            E('签名不能为空！');        }        if(empty($privatekey)){            E('私钥不能为空！');        }        //时间校验        $expire_second=C('expire_second',null,10);        $timestamp_t=$timestamp+$expire_second;        if($timestamp_t<time()){            E('请求已经过期！');        }        $public= D('public');        $datas=$this->original;        //系统参数        $paramArr=array(            'token'=>$token,            'timestamp'=>$timestamp,            'version'=>$version,            'source'=>$source,            'data'=>$data,        );        //按规则拼接为字符串        $str = $this->createSign($paramArr,$this->privatekey);                if($str != $this->sign){            E('验签错误！');        }        return true;    }

以上就是php接口怎么保证安全性的详细内容，更多请关注Gxl网其它相关文章！

内容总结

以上是为您收集整理的php接口怎么保证安全性全部内容，希望文章能够帮你解决php接口怎么保证安全性所遇到的程序开发问题。 如果觉得技术教程内容还不错，欢迎将网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。