api 接口签名 验签

开发过程中，我们经常会与接口打交道，有的时候是调取别人网站的接口，有的时候是为他人提供自己网站的接口，但是在这调取的过程中都离不开签名验证。

我们在设计签名验证的时候，请注意要满足以下几点：

• 时效性：每次请求的时效，过期作废等。
• 唯一性：每次的签名是唯一的。
• 完整性：能够对传入数据进行验证，防止篡改。

生成签名时需要设置一个密钥(secret)，只有发送方，和接收方知道。

请求方：

将请求参数,签名sign除外，进行升序排列。然后转为字符串，按照双方约定的加密方式进行加密

 ksort($data);//对参数数组进行升序排列
 $json_str = json_encode($data, JSON_UNESCAPED_UNICODE);//转为字符串形式
 $busiContent = openssl_encrypt($json_str, 'des-ecb', $this->SecretKey);//加密

然后发送请求时加上签名sign参数

接收方：

1.验证参数中是否有签名

2.验证请求， 10分钟失效

3.验证签名是否正确。将参数去除接收到的参数去除sign后，根据双发规定好的sign签名生成规则重新生成签名，与接收到的签名进行对比，判断签名是否正确。