PHP开发api数据接口之安全验证

应广大朋友要求，今天分享一下PHP开发数据接口时的安全验证方案。

当我们的接口发布到服务器以后，就可以被外部所请求，但是这个过程中服务器并不知道请求的来源是什么，有可能是别人非法调用我们的接口，传输的数据被偷窥、被抓包、被伪造时有发生，因此就要使用安全验证。那么如何设计一套比较安全的API接口方案呢？

一般的解决方案如下：

1、Token授权认证，防止未授权用户获取数据；

2、时间戳超时机制；

3、URL签名，防止请求参数被篡改；

4、防重放，防止接口被第二次请求，防采集；

5、采用HTTPS通信协议，防止数据明文传输；

今天介绍一种常见的签名验证方案，所谓签名验证，就是将所有的参数和密钥按照约定好的运算规则计算出签名，然后和接入方传过来的签名进行对比，一样的话，返回数据。至于这个运算规则是什么，并没有统一要求，下面举个例子：

步骤一: 将所有参数（除sign外），按参数名字母升序排序，拼接成字符串,例：key1=value1&key2=value2&key3=.....

步骤二：将密钥拼接到步骤一所得字符串的后面，并对整个字符串进行MD5加密，得到32位字符串；

步骤三：将步骤二所得32位字符串转为大写，并作为sign的值，和其他参数一起传输（post方式）。

下面是服务器端的代码示例：

//分配给接入方的密钥
$key = "c4ca4238a0b923820dcc509a6f75849b";
//接收传来的参数
$userId = $_REQUEST["userId"];
$userName = $_REQUEST["userName"];
$sign = $_REQUEST["sign"];
//数据包
$data = array(
    'userName' => $userName,
    'userId' => $userId
);
// 对数组的值按key排序
ksort($data);
//拼接成字符串
$params = http_build_query($data);
//拼接密钥，并进行md5加密
$sign_lower = md5($params . $key);
//转换为大写
$sign_server = strtoupper($sign_lower);

if($sign == $sign_server){
    //验证成功，返回数据
}else{
    //验证失败
}

总结：接口安全验证的方式有很多，所有的安全措施都用上的话有时候难免太过复杂，在实际项目中需要根据自身情况作出取舍，比如可以只使用签名机制就可以保证信息不会被篡改，或者定向提供服务的时候只用Token机制就可以了，如何取舍，全看项目实际情况和对接口安全性的要求。

THE END