伺服器端資料合法性驗證:簽名sign和口令token原理
有時候,你也許會想:
我寫的介面,那別人要是知道url,並且知道其需要的資料結構和邏輯,那不是都可以訪問了?
甚至是,客戶點傳遞過來的資料,是不是被惡意修改了?
這時,我們可能需要“驗證”一下。比如:登入驗證,只有登入以後才能來到後臺。
這裡給出幾種【驗證】方式,大神勿噴:
1:sign驗證法:
這種驗證方式,一般過程是:
第一:給你一個【私鑰】[app_secret] 和[app_id]
第二:你要提交的所有資料都需要提供sign簽名。
第三:sign簽名的獲取方式。
例如:給使用者id為99的人增加100積分:
$app_id = 'Te001';
$secret = 'e10adc3949ba59abbe56e057f20f883e';
$url = 'http://127.0.0.1/test/apiDataCheck';
$post = array(
'user_id' => 99,
'point' => 100
);
function addSign($url, $data){
$str = '';
$data['app_id'] = $app_id;
ksort($data);
foreach($data as $k => $v){
$str .= $k.'='.$v.'&';
}
$str = substring($str, 0, -1);
$str = $url.'?'.$str.$secret;
$data['sign'] = md5($str);
return $data;
}
curl_post($url, addSign($url,$post));
addSign 就是一個sign的獲取方式:所有資料加上app_id,欄位順序排序,以get引數方式連線。然後url+?+get引數+私鑰,進行md5加密獲取sign簽名。進而進行介面呼叫。
第四:伺服器端驗證資料合法性。
$url = 'http://127.0.0.1/test/apiDataCheck'; $app_secret = 'select app_secret from app_id_secret where app_id='.intval($_POST['app_id']); function checkSign($url, $post){ $str = ''; $sign = $post['sign']; unset($post['sign']); foreach($post as $k => $v){ $str .= $k.'='.$v.'&'; } $str = substring($str, 0, -1); $str = $url.'?'.$str.$app_secret; return $sign == md5($str); } if($app_secret && checkSign($url, $_POST)){ $res = 'update user_point set point=point+100 where user_id='.$_POST['user_id']; }
介面在操作資料之前,首先按照原本既定的sign生成方式,驗證sign合法性,進而進行下一步操作。
很多第三方的介面都存在這樣的一個簽名驗證,如:美團外賣和微信等。但其原理大同小異。
2:token法:
token法的步驟大概是:
1:給你一個app_id和app_secret。
2:提供一個利用app_id和app_secret獲取token的介面。
3:token的時效性設定。
4:獲取token介面的使用次數限制。
1:獲取token $app_id = 'Token001'; $app_secret = 'e10adc3949ba59abbe56e057f20f883e'; $url = 'http://127.0.0.1/token/getToken?app_id='.$app_ip.'&app_secret='.$app_secret; $token = curl_get($url); // $token = array( // 'token' => 'e10adc3949ba59abbe56e057f20f883e', // 'expire' => '1444444400' // ); session('token', $token['token']); session('expire', $token['expire']); 2:介面呼叫 $url = 'http://127.0.0.1/token/getUserInfo'; $post['user_id'] = 1; if(time() < session('expire')){ $post['user_id'] = 1; $post['token'] = session('token'); }else{ 步驟1: } $userInfo = curl_post($post);
5:伺服器驗證token:
1:生成token並返回 define('EXPIRE', 3600); $post = array( $app_id = 'Token001'; $app_secret = 'e10adc3949ba59abbe56e057f20f883e'; ); $tcount = 'select count(*) from app_token where app_id='.$post['app_id']; if($tcount >= 50){ // app_id 獲取token次數太多 }else{ $token['token'] = md5($post['app_id'].time().$post['app_secret'].EXPIRE); $token['expire'] = time()+EXPIRE; $insert = 'insert into app_token value(null, '.$post['app_id'].', '.$token['token'].');'; } 2:介面驗證token $post = array( $user_id = 1; $token = 'e10adc3949ba59abbe56e057f20f883e'; ); $token = 'select token from app_token where app_id='.$post['app_id'].' order by id desc limit 1'; if($token == $post['token']){ return 'select * from user where user_id='.$post['user_id']; }else{ // token 錯誤 }
token的生成辦法可以自由設定,token的獲取次數和過期時間都可以加進去。上例只是說明下原理和思路。
ps:簽名就是客戶端和服務端分別按照某種資料格式把資料加密然後對比(金鑰各自存,不要傳)
token是客戶端去請求伺服器時,伺服器生成token,伺服器在mysql裡面記錄下,然後把token返回給客戶端,客戶端每次訪問伺服器的時候都會攜帶token,伺服器用記錄的token和攜帶的token做對比。
轉載 https://www.cnblogs.com/wicub/p/6707511.html
我寫的介面,那別人要是知道url,並且知道其需要的資料結構和邏輯,那不是都可以訪問了?
甚至是,客戶點傳遞過來的資料,是不是被惡意修改了?
這時,我們可能需要“驗證”一下。比如:登入驗證,只有登入以後才能來到後臺。
這裡給出幾種【驗證】方式,大神勿噴:
1:sign驗證法:
這種驗證方式,一般過程是:
第一:給你一個【私鑰】[app_secret] 和[app_id]
第二:你要提交的所有資料都需要提供sign簽名。
第三:sign簽名的獲取方式。
例如:給使用者id為99的人增加100積分:
$app_id = 'Te001';
$secret = 'e10adc3949ba59abbe56e057f20f883e';
$url = 'http://127.0.0.1/test/apiDataCheck';
$post = array(
'user_id' => 99,
'point' => 100
);
function addSign($url, $data){
$str = '';
$data['app_id'] = $app_id;
ksort($data);
foreach($data as $k => $v){
$str .= $k.'='.$v.'&';
}
$str = substring($str, 0, -1);
$str = $url.'?'.$str.$secret;
$data['sign'] = md5($str);
return $data;
}
curl_post($url, addSign($url,$post));
addSign 就是一個sign的獲取方式:所有資料加上app_id,欄位順序排序,以get引數方式連線。然後url+?+get引數+私鑰,進行md5加密獲取sign簽名。進而進行介面呼叫。
第四:伺服器端驗證資料合法性。
$url = 'http://127.0.0.1/test/apiDataCheck'; $app_secret = 'select app_secret from app_id_secret where app_id='.intval($_POST['app_id']); function checkSign($url, $post){ $str = ''; $sign = $post['sign']; unset($post['sign']); foreach($post as $k => $v){ $str .= $k.'='.$v.'&'; } $str = substring($str, 0, -1); $str = $url.'?'.$str.$app_secret; return $sign == md5($str); } if($app_secret && checkSign($url, $_POST)){ $res = 'update user_point set point=point+100 where user_id='.$_POST['user_id']; }
介面在操作資料之前,首先按照原本既定的sign生成方式,驗證sign合法性,進而進行下一步操作。
很多第三方的介面都存在這樣的一個簽名驗證,如:美團外賣和微信等。但其原理大同小異。
2:token法:
token法的步驟大概是:
1:給你一個app_id和app_secret。
2:提供一個利用app_id和app_secret獲取token的介面。
3:token的時效性設定。
4:獲取token介面的使用次數限制。
1:獲取token $app_id = 'Token001'; $app_secret = 'e10adc3949ba59abbe56e057f20f883e'; $url = 'http://127.0.0.1/token/getToken?app_id='.$app_ip.'&app_secret='.$app_secret; $token = curl_get($url); // $token = array( // 'token' => 'e10adc3949ba59abbe56e057f20f883e', // 'expire' => '1444444400' // ); session('token', $token['token']); session('expire', $token['expire']); 2:介面呼叫 $url = 'http://127.0.0.1/token/getUserInfo'; $post['user_id'] = 1; if(time() < session('expire')){ $post['user_id'] = 1; $post['token'] = session('token'); }else{ 步驟1: } $userInfo = curl_post($post);
5:伺服器驗證token:
1:生成token並返回 define('EXPIRE', 3600); $post = array( $app_id = 'Token001'; $app_secret = 'e10adc3949ba59abbe56e057f20f883e'; ); $tcount = 'select count(*) from app_token where app_id='.$post['app_id']; if($tcount >= 50){ // app_id 獲取token次數太多 }else{ $token['token'] = md5($post['app_id'].time().$post['app_secret'].EXPIRE); $token['expire'] = time()+EXPIRE; $insert = 'insert into app_token value(null, '.$post['app_id'].', '.$token['token'].');'; } 2:介面驗證token $post = array( $user_id = 1; $token = 'e10adc3949ba59abbe56e057f20f883e'; ); $token = 'select token from app_token where app_id='.$post['app_id'].' order by id desc limit 1'; if($token == $post['token']){ return 'select * from user where user_id='.$post['user_id']; }else{ // token 錯誤 }
token的生成辦法可以自由設定,token的獲取次數和過期時間都可以加進去。上例只是說明下原理和思路。
ps:簽名就是客戶端和服務端分別按照某種資料格式把資料加密然後對比(金鑰各自存,不要傳)
token是客戶端去請求伺服器時,伺服器生成token,伺服器在mysql裡面記錄下,然後把token返回給客戶端,客戶端每次訪問伺服器的時候都會攜帶token,伺服器用記錄的token和攜帶的token做對比。
轉載 https://www.cnblogs.com/wicub/p/6707511.html