api 接口签名 验签

开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。

我们在设计签名验证的时候,请注意要满足以下几点:

  • 时效性:每次请求的时效,过期作废等。
  • 唯一性:每次的签名是唯一的。
  • 完整性:能够对传入数据进行验证,防止篡改。

生成签名时需要设置一个密钥(secret),只有发送方,和接收方知道。

请求方:

将请求参数,签名sign除外,进行升序排列。然后转为字符串,按照双方约定的加密方式进行加密

 ksort($data);//对参数数组进行升序排列
 $json_str = json_encode($data, JSON_UNESCAPED_UNICODE);//转为字符串形式
 $busiContent = openssl_encrypt($json_str, 'des-ecb', $this->SecretKey);//加密

然后发送请求时加上签名sign参数

接收方:

1.验证参数中是否有签名

2.验证请求, 10分钟失效

3.验证签名是否正确。将参数去除接收到的参数去除sign后,根据双发规定好的sign签名生成规则重新生成签名,与接收到的签名进行对比,判断签名是否正确。

你可能感兴趣的:(php,接口)