描述
为了保证第三方应用与API服务器之间通信的安全性,防止Secret Key盗用、数据篡改等恶意攻击行为,开放平台API 服务器使用签名机制,应用在调用开放平台API,需要计算出一个签名。
请求发起方式
通过应用客户端发起的
通过页面中的JavaScript、Flash内的ActionScript或手机、桌面客户端程序发起。则签名是由请求参数和Session Secret(每个用户的Session Key所对应的密钥)经过指定的加密算法生成的字符串。
通过第三方应用服务端发起的
签名是由请求参数和应用的私钥经过对应加密算法生成的。
签名的生成
不进行签名生成
不生成的签名的情况也是存在,例如web站点开发前后端分离。但是由于基于session的特性,可以支持正常的业务处理,不过要进行一些必要的准备。
- 登陆验证
- 采用post方式提交数据
- 构造token令牌,例如
md5(uniqid(rand(), TRUE)),可以设置失效时间 - 验证referer,同源策略规划
- Api授权
- 等等
带有签名密钥
请求增加key和sign参数,解决身份验证和防止参数篡改问题 ,私钥不要外泄。
- 分配对应的key、secret
- 签名生成规则
- 请求参数新增时间戳
timestamp,可以验证请求是否过期。 - $secret 作加密使用, 为了保证数据安全,不要在请求参数中体现。
升级优化
对于安全相对高点的系统来讲,签名会采用自己指定的复杂规则,header,body都会做相应处理。例如企业报文,电子订单信息等。
数据加密/编码算法列表
参考:http://blog.sina.com.cn/s/blog_4f0322c50101ilml.html
1、常用密钥算法
密钥算法用来对敏感数据、摘要、签名等信息进行加密,常用的密钥算法包括:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高;
RC2和 RC4:用变长密钥对大量数据进行加密,比 DES 快;
IDEA(International Data Encryption Algorithm)国际数据加密算法,使用 128 位密钥提供非常强的安全性;
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前 AES 标准的一个实现是 Rijndael 算法;
BLOWFISH,它使用变长的密钥,长度可达448位,运行速度很快;
其它算法,如ElGamal、Deffie-Hellman、新型椭圆曲线算法ECC等。
2、单向散列算法
单向散列函数一般用于产生消息摘要,密钥加密等,常见的有:
MD5(Message Digest Algorithm 5):是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值;
SHA(Secure Hash Algorithm)这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值;
MAC(Message Authentication Code):消息认证代码,是一种使用密钥的单向函数,可以用它们在系统上或用户之间认证文件或消息。HMAC(用于消息认证的密钥散列法)就是这种函数的一个例子。
CRC(Cyclic Redundancy Check):循环冗余校验码,CRC校验由于实现简单,检错能力强,被广泛使用在各种数据校验应用中。占用系统资源少,用软硬件均能实现,是进行数据传输差错检测地一种很好的手段(CRC 并不是严格意义上的散列算法,但它的作用与散列算法大致相同,所以归于此类)。
3、其它数据算法
其它数据算法包括一些常用编码算法及其与明文(ASCII、Unicode 等)转换等,如 Base 64、Quoted Printable、EBCDIC 等。
示例代码,仅供参考:
/**
* 签名生成算法
* @param array $params API调用的请求参数集合的关联数组,不包含sign参数
* @return string 返回参数签名值
*/
function getSignature($params, $secret)
{
$str = '';
ksort($params);
foreach ($params as $k => $v) {
$str .= "$k=$v";
}
$str .= $secret;
return md5($str);
}
/*
* 生成签名,$args为请求参数,$key为私钥
*/
function makeSignature($args, $key)
{
if(isset($args['sign'])) {
$oldSign = $args['sign'];
unset($args['sign']);
} else {
$oldSign = '';
}
ksort($args);
$requestString = '';
foreach($args as $k => $v) {
$requestString .= $k . '=' . urlencode($v);
}
$newSign = hash_hmac("md5",strtolower($requestString) , $key);
return $newSign;
}
pubkey = $pubkey;
$this->privkey = $privkey;
}
/**加密**/
public function encrypt($data)
{
if (empty($data)) {
return null;
}
$pem = "-----BEGIN PUBLIC KEY-----\n" . chunk_split($this->pubkey, 64, "\n") . "-----END PUBLIC KEY-----\n";
$key = openssl_pkey_get_public($pem);
$resultb = "";
$dataArray = str_split($data, 117);
foreach ($dataArray as $d) {
if (openssl_public_encrypt($d, $encrypted, $key)) {
$resultb .= $encrypted;
} else return null;
}
return base64_encode($resultb);
}
/**解密**/
public function decrypt($data)
{
$pem = "-----BEGIN PRIVATE KEY-----\n" . chunk_split($this->privkey, 64, "\n") . "-----END PRIVATE KEY-----\n";
$key = openssl_pkey_get_private($pem);
$resultb = "";
$dataArray = str_split(base64_decode($data), 128);
foreach ($dataArray as $d) {
if (openssl_private_decrypt($d, $encrypted, $key)) {
$resultb .= $encrypted;
} else return null;
}
return $resultb;
}
/**数字签名**/
public function md5($data)
{
$xtt=urlencode(base64_encode(md5($data))); //数字签名
return $xtt;
}
}
crc_table[(($crc>>8) ^ ord($ptr[$i]))] ^ (($crc<<8) & 0x00FFFF);
$ret = sprintf('%02x%02x', floor($crc/256),$crc%256);
return strtoupper($ret);
}
}
key = $key;
$this->iv = $iv;
}
function encrypt($str) {
$size = mcrypt_get_block_size(MCRYPT_DES, MCRYPT_MODE_CBC);
$str = $this->pkcs5Pad($str, $size);
// echo $size.'
';
// echo $str."
";
// echo $this->key.'
';
// echo $this->iv.'
';
// return mcrypt_cbc(MCRYPT_DES, $this->key, $str, MCRYPT_ENCRYPT, $this->iv);
$cipher = mcrypt_module_open(MCRYPT_DES, '', 'cbc', '');
mcrypt_generic_init($cipher, $this->key, $this->iv);
return mcrypt_generic($cipher, $str);
}
function decrypt($str) {
$strBin = $str;
// $str = mcrypt_cbc(MCRYPT_DES, $this->key, $strBin, MCRYPT_DECRYPT, $this->iv);
$cipher = mcrypt_module_open(MCRYPT_DES, '', 'cbc', '');
mcrypt_generic_init($cipher, $this->key, $this->iv);
$str = mdecrypt_generic($cipher, $str);
$str = $this->pkcs5Unpad($str);
return $str;
}
function pkcs5Unpad($text) {
$pad = ord($text{strlen($text) - 1});
if ($pad > strlen($text))
return false;
if (strspn($text, chr($pad), strlen($text) - $pad) != $pad)
return false;
return substr($text, 0, -1 * $pad);
}
function pkcs5Pad($text, $blocksize) {
$pad = $blocksize - (strlen($text) % $blocksize);
return $text . str_repeat(chr($pad), $pad);
}
}
class SaaSSafe{
private $iv;
function set_iv($i){
if($i != ''){
$this->iv = $i;
}
}
public function Encode($o_string){
$md5_string = md5($o_string);
$body_string = $md5_string.$o_string;
$key = $this->makeKey($this->iv);
$des_body_string = $this->desEn($body_string, $this->iv, $key);
$ret = base64_encode($des_body_string);
return $ret;
}
public function Decode($o_string){
$de_base_string = base64_decode($o_string);
$key = $this->makeKey($this->iv);
$de_des_string = $this->desDe($de_base_string, $this->iv, $key);
$ret = substr($de_des_string, 32);
return $ret;
}
function odd($o_string){
$ret = '';
for ($i=0; $iodd(substr(md5($iv),8,16));
}
}
private function desEn($o_string, $iv, $key){
$des = new DES($key, $iv);
$ret = $des->encrypt($o_string);
return $ret;
}
private function desDe($o_string, $iv, $key){
$des = new DES($key, $iv);
$ret = $des->decrypt($o_string);
return $ret;
}
}
/*
参考:
https://mp.weixin.qq.com/s?__biz=MjM5NDM4MDIwNw==&mid=2448834812&idx=1&sn=d27c9478b98a184acdb8ca7e9fbfc751&chksm=b28a403c85fdc92aca0461556ee3b1114bbf43fe630baeb0a61f72187dcd6d355018baa1f82b#rd
*/
class Rsa2
{
private static $PRIVATE_KEY = 'rsa_private_key.pem 内容';
private static $PUBLIC_KEY = 'rsa_public_key.pem 内容';
/**
* 获取私钥
* @return bool|resource
*/
private static function getPrivateKey()
{
$privKey = self::$PRIVATE_KEY;
return openssl_pkey_get_private($privKey);
}
/**
* 获取公钥
* @return bool|resource
*/
private static function getPublicKey()
{
$publicKey = self::$PUBLIC_KEY;
return openssl_pkey_get_public($publicKey);
}
/**
* 创建签名
* @param string $data 数据
* @return null|string
*/
public function createSign($data = '')
{
if (!is_string($data)) {
return null;
}
return openssl_sign(
$data,
$sign,
self::getPrivateKey(),
OPENSSL_ALGO_SHA256
) ? base64_encode($sign) : null;
}
/**
* 验证签名
* @param string $data 数据
* @param string $sign 签名
* @return bool
*/
public function verifySign($data = '', $sign = '')
{
if (!is_string($sign) || !is_string($sign)) {
return false;
}
return (bool)openssl_verify(
$data,
base64_decode($sign),
self::getPublicKey(),
OPENSSL_ALGO_SHA256
);
}
}
补充: byte数组与字符串转化类
= 128){
$byte = ord($str[$i]) - 256;
}else{
$byte = ord($str[$i]);
}
$bytes[] = $byte ;
}
return $bytes;
}
/**
* 将字节数组转化为String类型的数据
* @param $bytes 字节数组
* @param $str 目标字符串
* @return 一个String类型的数据
*/
public static function toStr($bytes) {
$str = '';
foreach($bytes as $ch) {
$str .= chr($ch);
}
return $str;
}
/**
* 转换一个int为byte数组
* @param $byt 目标byte数组
* @param $val 需要转换的字符串
* @author Zikie
*/
public static function integerToBytes($val) {
$byt = array();
$byt[0] = ($val & 0xff);
$byt[1] = ($val >> 8 & 0xff);
$byt[2] = ($val >> 16 & 0xff);
$byt[3] = ($val >> 24 & 0xff);
return $byt;
}
/**
* 从字节数组中指定的位置读取一个Integer类型的数据
* @param $bytes 字节数组
* @param $position 指定的开始位置
* @return 一个Integer类型的数据
*/
public static function bytesToInteger($bytes, $position) {
$val = 0;
$val = $bytes[$position + 3] & 0xff;
$val <<= 8;
$val |= $bytes[$position + 2] & 0xff;
$val <<= 8;
$val |= $bytes[$position + 1] & 0xff;
$val <<= 8;
$val |= $bytes[$position] & 0xff;
return $val;
}
/**
* 转换一个shor字符串为byte数组
* @param $byt 目标byte数组
* @param $val 需要转换的字符串
* @author Zikie
*/
public static function shortToBytes($val) {
$byt = array();
$byt[0] = ($val & 0xff);
$byt[1] = ($val >> 8 & 0xff);
return $byt;
}
/**
* 从字节数组中指定的位置读取一个Short类型的数据。
* @param $bytes 字节数组
* @param $position 指定的开始位置
* @return 一个Short类型的数据
*/
public static function bytesToShort($bytes, $position) {
$val = 0;
$val = $bytes[$position + 1] & 0xFF;
$val = $val << 8;
$val |= $bytes[$position] & 0xFF;
return $val;
}
}
?>