PHP 对参数签名
- 对参数进行签名防止参数劫持
- 加入timestamp, 防止DOS攻击(但这次没有实现这个功能,后续再实现)
interface BaseToken
{ /**
* @param params array|string 前端请求的参数
* @param key string 秘钥
* @return sign string
*/
public function getSign($params, string $key);
} class Token implements BaseToken
{ public $privateKey = 'thisisprivateKey!!'; /**
* 后端根据前端的参数生成的签名, 签名是防止参数劫持
* 还可以判断timestamp,防止DOS攻击
* @return sign
*/
public function getSign($params, string $privateKey)
{
//有的接口可能需要判断timestamp,防止DOS攻击,判断是否传入了timestamp
if(isset($params['timestamp'])){
if(abs($params['timestamp']-time()) > 60*15){
return ['code'=>10001, 'msg'=>'timestamp失效,请重新发送请求'];
}
}
$string = '';
foreach ($params as $key => $value) {
// firstly unset value of empty
if(!$value){
unset($params[$key]);
}
}
//参数名按ASCII吗从小到大排序(字典序)
ksort($params);
$str = '';
foreach ($params as $key => $value) {
//前端请求的参数里面是包含sign的,需要过滤。,timestamp 也参与签名.
if($key != 'sign' && !is_array($value))
$str .= $key.'='.$value.'&';
}
//拼接privateKey,签名
$str .= 'key='.$privateKey;
$sign = strtoupper(md5($str));
return $sign;
} // check value is or not empty
//获取传入的参数,参数个数不确定,类型不确定
public function handle($json)
{
// $params = func_get_args(); //结果是索引数组,不是关联数组
$params = json_decode($json, true);
$sign = $this->getSign($params, $this->privateKey);
if($params['sign'] == $sign){
return 'success';
}else{
return 'sign fail';
}
}
} //模拟前端发送请求数据,使用json格式,func_get_args()返回的不是关联数组,无法使用签名。
$user = 'bneglect';
$timestamp = 1576659396; //time()
$str = '';
$str .= 'timestamp='.$timestamp.'&user='.$user.'&key=thisisprivateKey!!';
$sign = strtoupper(md5($str));
$json = ['user'=>$user, 'timestamp'=>$timestamp, 'sign'=>$sign];
$json = json_encode($json); //调用对象
$token = new Token;
echo $token->handle($json);
PHP 对参数签名的更多相关文章
- [置顶]
webapi token、参数签名是如何生成的
一个问题 在这里我想问大家一句,如果你向一个刚刚接触.net web后端程序开发的同学(别人刚刚也就学了webform的request,response,会提交表单的这种刚接触不久的同学),你怎么去解 ...
- 防盗链之URL参数签名
一.概述 传统的 IP 禁用.referer 防盗链.User-Agent 防盗链.地区访问控制等防盗链措施已经无法完全满足用户要求,所以开发出URL参数签名方式来防盗链 二.实现 Token防盗链是 ...
- C# 参数签名字符串按 ASCII码排序,注意其中的坑
参数签名中通常是按键值对中键名称的ASCII按从小到大的顺序排序后进行hash为签名字符串.不要直接使用 SortedDictionary<string, string> 有坑的,他是按数 ...
- 参数签名ascii码排序的坑
参数签名中通常是按键值对中键名称的ASCII按从小到大的顺序排序后进行hash为签名字符串.不要直接使用 SortedDictionary<string, string> 有坑的,他是按数 ...
- 【转】js生成接口请求参数签名加密
js生成接口请求参数签名加密 签名算法规则: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=v ...
- 防盗链之URL参数签名 总结
一.概述 传统的 IP 禁用.referer 防盗链.User-Agent 防盗链.地区访问控制等防盗链措施已经无法完全满足用户要求,所以开发出URL参数签名方式来防盗链 二.实现 Token防盗链是 ...
- webapi token、参数签名是如何生成的(转载)
API接口保障安全性原则:1.有调用者身份2.请求的唯一性3.请求的参数不能被篡改4.请求的有效时间 在刚接触接口开发时,可能脑子里压根就没有这个接口调用安全性的原则,但常识性的经验告诉我们,每一个请 ...
- js生成接口请求参数签名加密
js生成接口请求参数签名加密 定义规则:将所有参数字段按首字母排序, 拼接成key1 = value1 & key2 = value2的格式,再在末尾拼接上key = appSecret, 再 ...
- Jmeter的参数签名测试
简介 参数签名可以保证开发的者的信息被冒用后,信息不会被泄露和受损.原因在于接入者和提供者都会对每一次的接口访问进行签名和验证. 签名sign的方式是目前比较常用的方式. 第1步:接入者把需求访问的接 ...
- WebApi安全性 参数签名校验(结合Axios使用)
接口参数签名校验,是WebApi接口服务最重要的安全防护手段之一. 结合项目中实际使用情况,介绍下前后端参数签名校验实现方案. 签名校验规则 http请求,有两种传参形式: 1.通过url传参,最常见 ...
随机推荐
- java当中JDBC当中请给出一个sql server的dataSource的helloworld例子
[学习笔记] 4. sql server的dataSource的helloworld: import java.sql.*;import javax.sql.*;import net.sourcef ...
- 算法两数之和 python版
方法一.暴力解法 -- 5s 复杂度分析:时间复杂度:O(n^2)空间复杂度:O(1) length = len(nums)for i in range(length): for j in ra ...
- python 之 并发编程(生产者消费者模型、守护进程的应用)
9.8 生产者消费者模型 该模型中包含两类重要的角色: 1.生产者:将负责造数据的任务比喻为生产者 2.消费者:接收生产者造出的数据来做进一步的处理的被比喻成消费者 实现生产者消费者模型三要素:1.生 ...
- 从零开始学Flask框架-005
表单 Flask-WTF 项目结构 pip install flask-wtf 为了实现CSRF 保护,Flask-WTF 需要程序设置一个密钥.Flask-WTF 使用这个密钥生成加密令牌,再用令牌 ...
- 14 windows下安装pygame模块
pycharm安装-推荐 file->setting->project->project interpreter->右边的+号,搜索pygame,点击下方的install pa ...
- centos7安装oracle11g(根据oracle官方文档安装,解决图形界面安装问题)
一.系统及安装包 操作系统:centos 7.4 oracle版本:oracle 11g r2 二.centos环境配置 安装数据库所需要的软件包 [root@localhost data]# yum ...
- Java源码阅读之ArrayList
基于jdk1.8的ArrayList源码分析. 实现List接口最常见的大概就四种,ArrayList, LinkedList, Vector, Stack实现,今天就着重看一下ArrayList的源 ...
- Django学习笔记 (一) 开发环境配置
Django是一个开放源代码的Web应用框架,由Python写成. 采用了MVC的软件设计模式,即模型M,视图V和控制器C. 1. Python安装 下载地址: http://www.python.o ...
- html中a标签的4个伪类样式
在CSS超链接的属性中,有四个连接方式:a:link a:hover a:visited a:acticve 之前在使用的时候一直是按照自认为的顺序中去写的,就是 L H V A的排序方式,然而有些时 ...
- 弹性布局flex 介绍
摘自:http://www.ruanyifeng.com/blog/2015/07/flex-grammar.html 网页布局(layout)是CSS的一个重点应用. 布局的传统解决方案,基于盒状模 ...