学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持

学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持

    • 背景
    • 结合redis缓存
    • Api签名校验类ApiAuth
    • app配置
    • postman请求

背景

为了保证客户端的每一次请求sign的唯一性,且只能使用一次,所以我们就需要在代码中去判断每次提交的sign是否唯一

结合redis缓存

引用redis缓存

use think\cache\driver\Redis;

学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持_第1张图片
api模块的控制器公共类 Common.php



namespace app\api\controller;

use app\common\lib\ApiAuth;
use app\common\lib\Time;
use think\Controller;

use app\common\lib\exception\ApiException;

use app\common\lib\Aes;

use think\cache\driver\Redis;

/*
 * api接口模块的公共控制器
 */

class Common extends Controller
{

    public function _initialize()
    {
        $this->checkRequestAuth();
        
    }

    //验证方法
    /*
     * 检查app每一次提交的数据是否合法
     */
    public function checkRequestAuth()
    {

        //验证header头的信息
        $header = request()->header();
        //halt($header);


        //sign 客户端工程师加密,服务端工程师解密

        //基础数据校验
        //如果sign不存在,报错
        if (empty($header['sign'])) {
            throw new ApiException('签名不存在!');
        }

        if (empty($header['apptype'])) {
            throw new ApiException('客户端不存在!');
        }

        //验证请求的app客户端是否合法
        if (!in_array($header['apptype'], config('app.apptypes'))) {
            throw new ApiException('客户端不合法!', 400);
        }

        //校验sign
        $header_result = ApiAuth::checkSign($header);

        if (!$header_result) {
            throw new ApiException('签名不合法!', 401);
        }

        //为了保证sign的唯一性,我们使用redis缓存,保证用过的sign,不可以再次使用
        $redis = new Redis;
        $redis->set($header['sign'], $header['sign'],config('app.api_sign_redis_time'));
        
    }

}

Api签名校验类ApiAuth

学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持_第2张图片
ApiAuth.php



namespace app\common\lib;

use app\common\lib\Aes;
use think\cache\driver\Redis;

class ApiAuth
{

    /*
     * 生成签名
     */
    public static function setSign($data = [])
    {
        //1 把数组按照字段你排序
        ksort($data);
        //2 将数组更改为拼接字符串的格式
        $sign_str = http_build_query($data);
        //3 通过aes加密
        return (new Aes())->encrypt($sign_str);
    }

    //校验签名sign
    public static function checkSign($data)
    {
        //解密
        $str = (new Aes())->decrypt($data['sign']);
        if (!$str) {
            return false;
        }
        //将字符串你转成数组格式
        parse_str($str, $arr);
        //比较常用变量的值是否一致
        if (!is_array($arr) || $arr['name'] != 'qipa250') {
            return false;
        }

        //校验sign有效期 由于解析后的日期是13位的,除以1000后得到10位数
        //两个时间再相减, 超过设置的有效
        if ((time() - ceil($arr['time'] / 1000)) > config('app.api_sign_expire_time')) {
            return false;
        }

        //验证sign的唯一性,若是存在,则表示已请求过,重复请求
        $redis = new Redis;
        if ($redis->get($data['sign'])) {
            return false;
        }

        return true;

    }


}

app配置

app.php 设置 api_sign_redis_time

增加签名redis缓存有效期


return [
    'admin_password_pre' => '_qipa250',//后台管理员密码加密后缀
    'aeskey' => 'QiPa250',//aes 密钥,服务端和客户端保持一致
    'aesiv' => '12345678901234567890123456789012',//aes iv,服务端和客户端保持一致
    'apptypes' => ['ios', 'android', 'wechat'],
    'api_sign_expire_time' => 10,//sign签名有效期为10s,
    'api_sign_redis_time' => 20,//sign签名redis有效期为20s,必须大于api_sign_expire_time,才生效,小于的话,会重复请求,不保证sign请求的唯一性
];

postman请求

第一次成功
在redis中查看,key值已经存在

学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持_第3张图片再次请求,则报异常,因为已经用过了,同一个sign不可以重复请求,
学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持_第4张图片

你可能感兴趣的:(Api,Php,Thinkphp框架)