使用場景

現(xiàn)在越來越多的項目使用的前后端分離的模式進行開發(fā)，后端開發(fā)人員使用API接口傳遞數(shù)據(jù)給到前端開發(fā)進行處理展示，在一些比較重要的修改數(shù)據(jù)接口，涉及金錢，用戶信息等修改的接口如果不做防護驗證，經(jīng)常容易被人惡意刷接口，導(dǎo)致巨大的損失。

API簽名驗證

這里我們引入業(yè)內(nèi)比較通用的簽名驗證來對接口進行參數(shù)加密，有以下優(yōu)勢。

• 請求的唯一性：計算出的簽名是唯一的，可以用來驗證。

• 參數(shù)的可變性：參數(shù)中包含時間戳參數(shù)，這就保證每次的請求計算出得簽名都是不一樣的。

• 請求的時效：由于請求中帶有當前發(fā)起請求的時間戳參數(shù)，服務(wù)端可以對時間戳進行驗證，過濾超出時效的請求。

• 安全性：即使請求被人惡意抓包，對方惡意篡改其中的參數(shù)，那么簽名都是錯誤的，參數(shù)無法修改。

實踐出真理

1. 對map類型（即一組鍵值對）的待簽名數(shù)據(jù)根據(jù)鍵的大小進行排序。map中各參數(shù)按字母順序排序,如果第一個字母相同,按第二個字母排序,依次類推。例如

{     "timestamp": "2017-06-08 09:38:00",     "format": "xml",     "app_id": "aabbc",     "cp_extend_info": "",     "sign_type": "HMAC-SHA1",     "sign": "abc" }

那么，排序后變成

{     "app_id": "aabbc",     "cp_extend_info": "",     "format": "xml",     "sign_type": "HMAC-SHA1",     "timestamp": "2017-06-08 09:38:00" }

注意：如果map中包含簽名的參數(shù)(sign)需要過濾該參數(shù)的鍵值不參與簽名，沒有值的參數(shù)請不要參與簽名

2. 對排序后的map進行序列化處理成待簽名字符串，拼接后的待簽名字符串為

app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00

3. 根據(jù)HMAC-SHA1算法使用密鑰提取待簽名字符串的摘要（hash）簽名并進行base64_encode編碼（便于顯性傳輸和對比），假設(shè)簽名密鑰為 test ，則提取出的摘要簽名并進行base64_encode的值為

JqoEqPIVVor0eyRHMYiZftsycVo=

注意：由于有些數(shù)據(jù)根據(jù)HTTP協(xié)議需求,在網(wǎng)絡(luò)傳輸過程中需要進行URLencoding,這樣接收方才可以接收到正確的參數(shù),但如果這個參數(shù)參與簽名,那么待簽名字符串必須是字符串原值而非URLencoding 的值。

代碼實踐

PHP示例

/**  * 使用密鑰生成HMAC-Sha1簽名  * @param array $params 請求參數(shù)  * @param string $signKey 簽名密鑰  * @return string  */ function hmacSha1Sign($params,$signKey) {     ksort($params);       $paramString = '';     foreach ($params as $key => $value) {         if (is_null($value) || $value=='' || $key == 'sign') {             continue;         }         $paramString .= $key.'='.$value.'&';     }     $paramString = substr($paramString,0,-1);     $sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));     return $sign; }