• 对参数进行签名防止参数劫持
  • 加入timestamp, 防止DOS攻击(但这次没有实现这个功能,后续再实现) 
     interface BaseToken
    
 {

     /**
    
      * @param params array|string 前端请求的参数
    
      * @param key string 秘钥
    
      * @return sign string
    
      */
    
     public function getSign($params, string $key);
    
 }

 class Token implements BaseToken
    
 {

     public $privateKey = 'thisisprivateKey!!';

     /**
    
      * 后端根据前端的参数生成的签名, 签名是防止参数劫持
    
      * 还可以判断timestamp,防止DOS攻击
    
      * @return sign
    
      */
    
     public function getSign($params, string $privateKey)
    
     {
    
         //有的接口可能需要判断timestamp,防止DOS攻击,判断是否传入了timestamp
    
         if(isset($params['timestamp'])){
    
             if(abs($params['timestamp']-time()) > 60*15){
    
                 return ['code'=>10001, 'msg'=>'timestamp失效,请重新发送请求'];
    
             }
    
         }
    
         $string = '';
    
         foreach ($params as $key => $value) {
    
             // firstly unset value of empty
    
             if(!$value){
    
                 unset($params[$key]);
    
             }
    
         }
    
         //参数名按ASCII吗从小到大排序(字典序)
    
         ksort($params);
    
         $str = '';
    
         foreach ($params as $key => $value) {
    
             //前端请求的参数里面是包含sign的,需要过滤。,timestamp 也参与签名.
    
             if($key != 'sign' && !is_array($value))
    
             $str .= $key.'='.$value.'&';
    
         }
    
         //拼接privateKey,签名
    
         $str .= 'key='.$privateKey;
    
         $sign = strtoupper(md5($str));
    
         return $sign;
    
     }

     // check value is or not empty
    
     //获取传入的参数,参数个数不确定,类型不确定
    
     public function handle($json)
    
     {
    
         // $params = func_get_args();  //结果是索引数组,不是关联数组
    
         $params = json_decode($json, true);
    
         $sign = $this->getSign($params, $this->privateKey);
    
         if($params['sign'] == $sign){
    
             return 'success';
    
         }else{
    
             return 'sign fail';
    
         }
    
     }
    
 }

 //模拟前端发送请求数据,使用json格式,func_get_args()返回的不是关联数组,无法使用签名。
    
 $user = 'bneglect';
    
 $timestamp = 1576659396;  //time()
    
 $str = '';
    
 $str .= 'timestamp='.$timestamp.'&user='.$user.'&key=thisisprivateKey!!';
    
 $sign = strtoupper(md5($str));
    
 $json = ['user'=>$user, 'timestamp'=>$timestamp, 'sign'=>$sign];
    
 $json = json_encode($json);

 //调用对象
    
 $token = new Token;
    
 echo $token->handle($json);

PHP 对参数签名的更多相关文章

  1. [置顶] webapi token、参数签名是如何生成的

    一个问题 在这里我想问大家一句,如果你向一个刚刚接触.net web后端程序开发的同学(别人刚刚也就学了webform的request,response,会提交表单的这种刚接触不久的同学),你怎么去解 ...

  2. 防盗链之URL参数签名

    一.概述 传统的 IP 禁用.referer 防盗链.User-Agent 防盗链.地区访问控制等防盗链措施已经无法完全满足用户要求,所以开发出URL参数签名方式来防盗链 二.实现 Token防盗链是 ...

  3. C# 参数签名字符串按 ASCII码排序,注意其中的坑

    参数签名中通常是按键值对中键名称的ASCII按从小到大的顺序排序后进行hash为签名字符串.不要直接使用 SortedDictionary<string, string> 有坑的,他是按数 ...

  4. 参数签名ascii码排序的坑

    参数签名中通常是按键值对中键名称的ASCII按从小到大的顺序排序后进行hash为签名字符串.不要直接使用 SortedDictionary<string, string> 有坑的,他是按数 ...

  5. 【转】js生成接口请求参数签名加密

    js生成接口请求参数签名加密 签名算法规则: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=v ...

  6. 防盗链之URL参数签名 总结

    一.概述 传统的 IP 禁用.referer 防盗链.User-Agent 防盗链.地区访问控制等防盗链措施已经无法完全满足用户要求,所以开发出URL参数签名方式来防盗链 二.实现 Token防盗链是 ...

  7. webapi token、参数签名是如何生成的(转载)

    API接口保障安全性原则:1.有调用者身份2.请求的唯一性3.请求的参数不能被篡改4.请求的有效时间 在刚接触接口开发时,可能脑子里压根就没有这个接口调用安全性的原则,但常识性的经验告诉我们,每一个请 ...

  8. js生成接口请求参数签名加密

    js生成接口请求参数签名加密 定义规则:将所有参数字段按首字母排序, 拼接成key1 = value1 & key2 = value2的格式,再在末尾拼接上key = appSecret, 再 ...

  9. Jmeter的参数签名测试

    简介 参数签名可以保证开发的者的信息被冒用后,信息不会被泄露和受损.原因在于接入者和提供者都会对每一次的接口访问进行签名和验证. 签名sign的方式是目前比较常用的方式. 第1步:接入者把需求访问的接 ...

  10. WebApi安全性 参数签名校验(结合Axios使用)

    接口参数签名校验,是WebApi接口服务最重要的安全防护手段之一. 结合项目中实际使用情况,介绍下前后端参数签名校验实现方案. 签名校验规则 http请求,有两种传参形式: 1.通过url传参,最常见 ...

随机推荐

  1. PHP被忽略的基础知识

    目录 下列PHP配置项中,哪一个和安全最不相关:() 字符串比较函数 格林时间 在PHP面向对象中,下面关于final修饰符描述错误的是( ) getdate()函数返回的值的数据类型是:( ) 关于 ...

  2. stm32之中断响应优先级

    1)中断响应分为:自然优先级.抢占优先级.响应优先级. 2)抢占优先级和响应优先级,其实是一个中断所包含的两个优先级,其中前者是抢占优先级之间的级别划分,后者是相同抢占优先级的优先级别的划分. 中断A ...

  3. 20191031:GIL全局解释锁

    20191031:GIL全局解释锁 总结关于GIL全局解释锁的个人理解 GIl全局解释锁,本身不是Python语言的特性,而是Python语言底层的c Python解释器的一个特性.在其他解释器中是没 ...

  4. hadoop 节点退役和服役

    节点的服役和退役(hdfs)---------------------- 黑白名单的组合情况-------------------------include //dfs.includeexclude ...

  5. Luogu5285 [十二省联考2019] 骗分过样例

    题目分析: 观察前3个点,$361=19*19$,所以可以发现实际上就是快速幂,然后模数猜测是$998244353$,因为功能编号里面有这个数字,用费马小定理处理一下. $pts:12$ 观察第4个点 ...

  6. AVOSCloud入门教程:Android Parse云服务的Hello World

    本文时间戳:2013年8月30日 AVOSCloud(万象云)才刚刚推出来不久的咯,其背后创业的推动者据说是Youtube的华人老大陈士骏(SteveChen,貌似手头有很多创业,美味,玩拍,都是,开 ...

  7. C# 卡控时间输入

    int hour = (int.Parse(DateTime.Now.Hour.ToString())) * 60;        int minute = int.Parse(DateTime.No ...

  8. Detection综述

    4月中旬开始,尝试对目标检测领域做一个了解,看了差不多6-7篇paper,在这里记录一下: 一.Detection简介 人脸检测的目标是找出图像中所有的人脸对应的位置,算法的输出是人脸外接矩形在图像中 ...

  9. 【转载】Sqlserver存储过程中使用Select和Set给变量赋值

    Sqlserver存储过程是时常使用到的一个数据库对象,在存储过程中会使用到Declare来定义存储过程变量,定义的存储过程变量可以通过Set或者Select等关键字方法来进行赋值操作,使用Set对存 ...

  10. 如何设置MySql Server远程访问(Debian Linux)

    1. 登录Mysql Server: $mysql -u root -p 2. 检查网络,Server是否允许远程连接: mysql> show variables like '%skip_ne ...