php hmac sha256签名,基于HMAC-SHA1的RESTful API 授权签名方法

引言

为了避免API被非法调用，调用过程中被篡改和重放攻击，需要增加API调用授权。对调用信息进行签名和验签是常用的授权方法。调用双方约定秘钥并内部存放，利用秘钥基于hash算法(常用的有MD5，SHA1和SHA256)通过HMAC运算生产签名signature。

参考

传递方式

通过header传递，格式：Authorization: CoAPI-HMAC-SHA1 $sign

同时传递header X-Co-TimeStamp，格式：X-Co-TimeStamp: 1493030704

签名过程

$sign = base64(hmac-sha1(SecretKey,

HTTPRequestMethod + "\n"

+ CanonicalURI + "\n"

+ CanonicalQueryString + "\n"

+ CanonicalHeaders + "\n"

+ CanonicalBody))

SecretKey 表示签名所需的密钥，服务端存储不传递；

HTTPRequestMethod 表示HTTP 请求的Method，主要有GET，POST，PUT，DELETE， HEAD，OPTION等，使用大写；

\n表示换行符；

CanonicalURI 表示格式化后的请求URI=Host + path，path使用/开头(即使后面为空)。例子：api.url.com/