API开发之接口安全（一）----生成sign

在对于API的开发中 最让人头疼的 就是接口数据暴露 让一些有心之人 抓包之后恶意请求 那么如何解决这一弊端呢？自然而然的 我们就想到了 加密  那我们又如何加密 如何解密 才能使之有最安全的效率呢？这是一个值得我们深思的问题 带着这些问题 我们来尝试着 一一解决他们

首先加密校验是需要在每次请求的时候 都要去做的 所以我们需要 写一个公共类 让其他类来继承 暂定这个类就为 Common 吧

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2019/8/15
 * Time: 15:00
 */

namespace app\index\controller;

use think\Controller;

class Common extends Controller
{
    public function _initialize(){
        $this->checkRequestAuth();
    }

    public function checkRequestAuth(){
        ##获取头信息
        $header = request()->header();
        halt($header);
    }
}    

上面代码很简单 我们就是单纯的获取一下header里面的信息 为什么要获取header而不是body里的信息呢  可能header好听吧（手动滑稽） 那么既然我们获取的是header里面的内容 那么这里面去放什么内容 才能是我们更好的校验呢 这就需要和前端小姐姐共同商议啦 当然 我这边已经确定 我们需要的 参数啦

sign   参数加密后生成的签名
version APP版本号
app_type APP类型 ios android之类
did 唯一标识ID
model 类似手机型号之类的值

在我们定义好header里面的内容之后 那么我们就要开始在 Common类里面大展拳脚了

我们需要了解  sign  加密是需要客户端去做的  解密是需要我们服务端来做的 但是正常流程来说 是需要我们服务端测试加密解密无误后 才开放接口给客户端的 所以这里 我们必须 去实现加密功能

下来  我们去搞一波 加密算法 我们使用 AES加密算法来进行测试

<?php
namespace app\common\lib;

/**
 * aes 加密 解密类库
 * @by singwa
 * Class Aes
 * @package app\common\lib
 */
class Aes {

    /**
     * var string $method 加解密方法，可通过openssl_get_cipher_methods()获得
     */
    protected $method;

    /**
     * var string $secret_key 加解密的密钥
     */
    protected $secret_key;

    /**
     * var string $iv 加解密的向量，有些方法需要设置比如CBC
     */
    protected $iv;

    /**
     * var string $options （不知道怎么解释，目前设置为0没什么问题）
     */
    protected $options;

    /**
     * 构造函数
     *
     * @param string $key 密钥
     * @param string $method 加密方式
     * @param string $iv iv向量
     * @param mixed $options 还不是很清楚
     *
     */
    public function __construct($key, $method = 'AES-128-ECB', $iv = '', $options = 0)
    {

        // key是必须要设置的
        $this->secret_key = isset($key) ? $key : config('app.aeskey');

        $this->method = $method;

        $this->iv = $iv;

        $this->options = $options;
    }

    /**
     * 加密方法，对数据进行加密，返回加密后的数据
     *
     * @param string $data 要加密的数据
     *
     * @return string
     *
     */
    public function encrypt($data)
    {
        return openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv);
    }

    /**
     * 解密方法，对数据进行解密，返回解密后的数据
     *
     * @param string $data 要解密的数据
     *
     * @return string
     *
     */
    public function decrypt($data)
    {
        return openssl_decrypt($data, $this->method, $this->secret_key, $this->options, $this->iv);
    }
}

秘钥写在配置文件里

return [
    'aeskey' => 'asdasd4wq5646',  #AES秘钥  服务端必须和客户端保持一致
    'method' => 'AES-128-ECB',
    'iv' => '',
    'options' => '0',
];

现在我们的 加密算法已经准备就绪 下来我们需要做的就是 将传进来的参数进行整合 加密后 返回  这样我们的 sign就生成了

因为生成sign属于鉴权类型 所以我们 在app\common\lib下新建 IAuth 类

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2019/8/15
 * Time: 16:06
 */

namespace app\common\lib;

use app\common\lib\Aes;

class IAuth
{
    /**
     * 生成每次请求的sign
     * @param array $data
     * @return string
     */
    public static function setSign($data = []){
        ## 1 按字典进行相对应的排序
        ksort($data);
        ## 2 转换为&拼接的参数
        $string = http_build_query($data);
        ## 3 通过 aes 来加密
        $string = (new Aes())->encrypt($string);

        return $string;
    }
}

生成sign类写好了 我们去测试下

<?php
/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2019/8/15
 * Time: 15:03
 */

namespace app\index\controller;

use app\common\lib\Aes;
use app\common\lib\IAuth;

class Test extends Common
{
    public function index(){
        ##  加密部分
//        $data = [
//            'did'=>1,
//            'version'=>"1.1.0",
//        ];
//
//        halt(IAuth::setSign($data));

        #解密部分
        $str = "g/1A3h+7XZZrdc3Gw1yEJBEAWTiKEm/veV5vMlyFLpc=";

        halt((new Aes())->decrypt($str));
    }
}

加密解密都没有问题  生成sign成功 下一节 我们进行验证操作