php接口的安全设计要素:Token,签名,时间戳

后端以api的方式将数据源呈现出来是目前的趋势，可以用在前后端分离的架构中，前后端分离之后，前后端人员能够更加专注于自己板块的东西；也可以用在后端与后端相互调用中。

拿到接口后，前台就可以通过链接获取接口提供的数据，而返回的数据一般分为两种情况，xml和json,在这个过程中，服务器并不知道，请求的来源是什么，有可能是别人非法调用我们的接口，获取数据，因此就要使用安全验证。

验证原理

原理

从图中可以看得很清楚，前台想要调用接口，需要使用几个参数生成签名。

1、时间戳：当前时间

2、随机数：随机生成的随机数

3、口令：前后台开发时，一个双方都知道的标识，相当于暗号

4、算法规则：商定好的运算规则，上面三个参数可以利用算法规则生成一个签名。

前台生成一个签名，当需要访问接口的时候，把时间戳，随机数，签名通过URL传递到后台。后台拿到时间戳，随机数后，通过一样的算法规则计算出签名，然后和传递过来的签名进行对比，一样的话，返回数据。

算法规则

在前后台交互中，算法规则是非常重要的，前后台都要通过算法规则计算出签名，至于规则怎么制定，看你怎么高兴怎么来。

我这个算法规则是：

时间戳，随机数，口令按照首字母大小写顺序排序

然后拼接成字符串

进行sha1加密

再进行MD5加密

转换成大写

前台

这里我并没有实际的前台，直接使用一个PHP文件代替前台，然后通过CURL模拟GET请求。我使用的是TP框架，URL格式是pathinfo格式。

代码如下

/**

		*CreatedbyPhpStorm.

		*User:Administrator

		*Date:2020/3/16

		*Time:15:56

		*/

		namespaceClient\Controller;

		useThink\Controller;

		classClientControllerextendsController{

		constTOKEN='API';

		//模拟前台请求服务器api接口

		publicfunctiongetDataFromServer(){

		//时间戳

		$timeStamp=time();

		//随机数

		$randomStr=$this->createNonceStr();

		//生成签名

		$signature=$this->arithmetic($timeStamp,$randomStr);

		//url地址

		$url="http://www.apitest.com/Server/Server/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}";

		$result=$this->httpGet($url);

		dump($result);

		}

		//curl模拟get请求。

		privatefunctionhttpGet($url){

		$curl=curl_init();

		//需要请求的是哪个地址

		curl_setopt($curl,CURLOPT_URL,$url);

		//表示把请求的数据已文件流的方式输出到变量中

		curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);

		$result=curl_exec($curl);

		curl_close($curl);

		return$result;

		}

		//随机生成字符串

		privatefunctioncreateNonceStr($length=8){

		$chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";

		$str="";

		for($i=0;$i<$length;$i++){

		$str.=substr($chars,mt_rand(0,strlen($chars)-1),1);

		}

		return"z".$str;

		}

		/**

		*@param$timeStamp时间戳

		*@param$randomStr随机字符串

		*@returnstring返回签名

		*/

		privatefunctionarithmetic($timeStamp,$randomStr){

		$arr['timeStamp']=$timeStamp;

		$arr['randomStr']=$randomStr;

		$arr['token']=self::TOKEN;

		//按照首字母大小写顺序排序

		sort($arr,SORT_STRING);

		//拼接成字符串

		$str=implode($arr);

		//进行加密

		$signature=sha1($str);

		$signature=md5($signature);

		//转换成大写

		$signature=strtoupper($signature);

		return$signature;

		}

		}

服务器端

这里主要是接受前台数据，进行验证，代码如下：

结果如下：

"{"name":"api","age":15,"address":"zz","ip":"192.168.0.1"}"

总结：

这种方法只是其中的一种方法，其实还有很多方法都是可以进行安全验证的。主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用。

(1)Token授权机制：(Token是客户端访问服务端的凭证)–用户使用用户名密码登录后服务器给客户端返回一个Token（通常是UUID），并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证，如果Token不存在，说明请求无效。

(2)时间戳超时机制：(签名机制保证了数据不会被篡改)用户每次请求都带上当前时间的时间戳timestamp，服务端接收到timestamp后跟当前时间进行比对，如果时间差大于一定时间（比如5分钟），则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。

(3)签名机制：将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法（可根据情况加点盐）加密，加密后的数据就是本次请求的签名sign，服务端接收到请求后以同样的算法得到签名，并跟当前的签名进行比对，如果不一样，说明参数被更改过，直接返回错误标识。