接口验证

权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究。有时候我们也会用一些开源的权限验证框架,不过能自己实现一遍就更好,自己开发的东西成就感(逼格)会更高一些。进入主题,本篇主要是介绍接口端的权限验证,这个部分每个项目都会用到,所以最好就是也把它插件化,放在Common中,新的项目就可以直接使用了。

参数解析:

1.appkey用于给服务端找到对应的secretkey。有时候我们会分配多对appkey-secretkey,例如安卓分一对,ios分一对。
2.noncestr 、timestamp是为了防止重放攻击的(Repaly Attacks),这是为了避免请求被窃取后,攻击者通过分析后破解后,再次发起恶意请求。参数timestamp时间戳是必须的,所谓时间戳是指从1970-1-1至当前的总秒数。我们规定一个时间,例如20分钟,超过20分钟就算过期,如果当前时间与这个时间戳的间隔超过20分钟,就拒绝。random不是必须的,但有了它也可以更好防止重放攻击,理论上来说,timestamp+noncestr 应该是唯一的,这个时候我们可以将其作为key缓存在redis,如果通过请求的timestamp+noncestr能在规定时间获取到,就拒绝。这里还有个问题,客户端与服务端时间不同步怎么办?这个可以要求客户端校正时间,或者把过期时间调大,例如30分钟才算过期,再或者可以使用网络时间。防止重放攻击也是很常见的,例如你可以把手机时间调到较早前一个时间,再使用手机银行,这个时候就会收到error了。
3.sign签名是通过一定规则生成。服务端接收到请求后,先通过appkey找到secretkey,进行同样拼接后进行hash,再与请求的sign进行比较,不一致则拒绝。这里需要注意的是,虽然我们做了很多工作,但依然不能阻止请求被窃取;我把timestamp参与到sign的生成,因为timestamp在请求中是可见的,请求被窃取后它完全可以被修改并再次提交,如果我们把它参与到sign的生成,一旦修改,sign也就不一样了,提高了安全性。参数字符串是通过请求参数拼接生成的字符串,目的也是类似的,防止参数被篡改。例如有三个参数a=1,b=3,c=2,那么参数字符串为a=1&b=3&c=2,也可以通过将参数按值进行排序再拼接生成参数字符串

代码:

请求端生成签名,并请求

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
<?php
$timestamp = time();//当前时间戳
$noncestr = generateNonceStr();//随机字符串
$appkey = '6ba895293c27f610';
$secretkey = 'hBvT8gnBPiPFJjGw80WLtryTNJH7u9IF';
$param1 = 'xxx';
$param2 = '129423';
$signature = getSignature(compact('timestamp','noncestr','param1','param2'), $secretkey);
$api_url = "http://apiurl.com?appkey={$appkey}&param1={$param1}&param2={$param2}&timestamp={$timestamp}&noncestr={$noncestr}&signature={$signature}&return=json&encode=utf-8";

//get or post api_url to get data

//获取签名
function getSignature($arrdata,$secretkey='',$method="sha1") {
	if (!function_exists($method)) return false;
	$newArray = array();
	foreach($arrdata as $key => $value)
	{
		array_push($newArray,(string)$value);
	}
	sort($newArray,SORT_STRING);//value值进行字符串的字典序排序
	ksort($arrdata);//按照键值排序
	$paramstring = "";
	foreach($arrdata as $key => $value)
	{
		if(strlen($paramstring) == 0)
			$paramstring .= $key . "=" . $value;
		else
			$paramstring .= "&" . $key . "=" . $value;
	}
	$Sign = $method($paramstring.$secretkey.implode($newArray));
	return $Sign;
}

//获取随机字符串
function generateNonceStr($length=16){
	// 密码字符集,可任意添加你需要的字符
	$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
	$str = "";
	for($i = 0; $i < $length; $i++)
	{
		$str .= $chars[mt_rand(0, strlen($chars) - 1)];
	}
	return $str;
}

服务端检验签名,并返回相关数据

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
//检验签名
function checkSignature($arrdata=array(),$secretkey='',$signature='',$method="sha1")
{
	if (!function_exists($method)) return false;
	$newArray = array();
	foreach($arrdata as $key => $value)
	{
		array_push($newArray,(string)$value);
	}
	sort($newArray,SORT_STRING);//value值进行字符串的字典序排序
	ksort($arrdata);//按照键值排序
	$paramstring = "";
	foreach($arrdata as $key => $value)
	{
		if(strlen($paramstring) == 0)
			$paramstring .= $key . "=" . $value;
		else
			$paramstring .= "&" . $key . "=" . $value;
	}
	$Sign = $method($paramstring.$secretkey.implode($newArray));
	if( $Sign == $signature ){
		return true;
	}else{
		return false;
	}
}

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

陈晨,<br/>PHP开发工程师,<br/>现就职于百度。