目錄概覽常用驗證單向散列加密對稱加密非對稱加密密鑰安全管理接口調試工具在線接口文檔擴展小結概覽

在設計簽名驗證的時候，一定要滿足以下幾點：

可變性：每次的簽名必須是不一樣的。 時效性：每次請求的時效性，過期作廢。 唯一性：每次的簽名是唯一的。 完整性：能夠對傳入數據進行驗證，防止篡改。

下面主要分享一些工作中常用的加解密的方法。

常用驗證

舉例：/api/login?username=xxx&password=xxx&sign=xxx

發送方和接收方約定一個加密的鹽值，進行生成簽名。

示例代碼：

//創建簽名private function _createSign(){ $strSalt = ’1scv6zfzSR1wLaWN’; $strVal = ’’; if ($this->params) {$params = $this->params;ksort($params);$strVal = http_build_query($params, ’’, ’&’, PHP_QUERY_RFC3986); } return md5(md5($strSalt).md5($strVal));}//驗證簽名if ($_GET[’sign’] != $this->_createSign()) { echo ’Invalid Sign.’;}

上面使用到了 MD5 方法，MD5 屬于單向散列加密。

單向散列加密

定義

把任意長的輸入串變化成固定長的輸出串，并且由輸出串難以得到輸入串，這種方法稱為單項散列加密。

常用算法

MD5 SHA MAC CRC

優點

以 MD5 為例。

方便存儲：加密后都是固定大小（32位）的字符串，能夠分配固定大小的空間存儲。 損耗低：加密/加密對于性能的損耗微乎其微。 文件加密：只需要32位字符串就能對一個巨大的文件驗證其完整性。 不可逆：大多數的情況下不可逆，具有良好的安全性。

缺點

存在暴力破解的可能性，最好通過加鹽值的方式提高安全性。

應用場景

用于敏感數據，比如用戶密碼，請求參數，文件加密等。

推薦密碼的存儲方式

password_hash()使用足夠強度的單向散列算法創建密碼的哈希（hash）。

示例代碼：

//密碼加密$password = ’123456’;$strPwdHash = password_hash($password, PASSWORD_DEFAULT);//密碼驗證if (password_verify($password, $strPwdHash)) { //Success} else { //Fail}

PHP 手冊地址：

http://php.net/manual/zh/function.password-hash.php

對稱加密

定義

同一個密鑰可以同時用作數據的加密和解密，這種方法稱為對稱加密。

常用算法

DES AES

AES 是 DES 的升級版，密鑰長度更長，選擇更多，也更靈活，安全性更高，速度更快。

優點

算法公開、計算量小、加密速度快、加密效率高。

缺點

發送方和接收方必須商定好密鑰，然后使雙方都能保存好密鑰，密鑰管理成為雙方的負擔。

應用場景

相對大一點的數據量或關鍵數據的加密。

AES

AES 加密類庫在網上很容易找得到，請注意類庫中的mcrypt_encrypt和mcrypt_decrypt方法！

在 PHP7.2 版本中已經被棄用了，在新版本中使用openssl_encrypt和openssl_decrypt兩個方法。

示例代碼（類庫）：

class Aes{ /** * var string $method 加解密方法 */ protected $method; /** * var string $secret_key 加解密的密鑰 */ protected $secret_key; /** * var string $iv 加解密的向量 */ protected $iv; /** * var int $options */ protected $options; /** * 構造函數 * @param string $key 密鑰 * @param string $method 加密方式 * @param string $iv 向量 * @param int $options */ public function __construct($key = ’’, $method = ’AES-128-CBC’, $iv = ’’, $options = OPENSSL_RAW_DATA) {$this->secret_key = isset($key) ? $key : ’CWq3g0hgl7Ao2OKI’;$this->method = in_array($method, openssl_get_cipher_methods()) ? $method : ’AES-128-CBC’;$this->iv = $iv;$this->options = in_array($options, [OPENSSL_RAW_DATA, OPENSSL_ZERO_PADDING]) ? $options : OPENSSL_RAW_DATA; } /** * 加密 * @param string $data 加密的數據 * @return string */ public function encrypt($data = ’’) {return base64_encode(openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv)); } /** * 解密 * @param string $data 解密的數據 * @return string */ public function decrypt($data = ’’) {return openssl_decrypt(base64_decode($data), $this->method, $this->secret_key, $this->options, $this->iv); }}

示例代碼：

$aes = new Aes(’HFu8Z5SjAT7CudQc’);$encrypted = $aes->encrypt(’鋤禾日當午’);echo ’加密前：鋤禾日當午<br>加密后：’, $encrypted, ’<hr>’;$decrypted = $aes->decrypt($encrypted);echo ’加密后：’, $encrypted, ’<br>解密后：’, $decrypted;

運行結果：

非對稱加密

定義

需要兩個密鑰來進行加密和解密，這兩個秘鑰分別是公鑰（public key）和私鑰（private key），這種方法稱為非對稱加密。

常用算法

RSA

優點

與對稱加密相比，安全性更好，加解密需要不同的密鑰，公鑰和私鑰都可進行相互的加解密。

缺點

加密和解密花費時間長、速度慢，只適合對少量數據進行加密。

應用場景

適合于對安全性要求很高的場景，適合加密少量數據，比如支付數據、登錄數據等。

算法名稱 標準名稱 備注 RSA2 SHA256WithRSA 強制要求RSA密鑰的長度至少為2048 RSA SHA1WithRSA 對RSA密鑰的長度不限制，推薦使用2048位以上

RSA2 比 RSA 有更強的安全能力。

螞蟻金服，新浪微博 都在使用 RSA2 算法。

創建公鑰和私鑰：

openssl genrsa -out private_key.pem 2048

openssl rsa -in private_key.pem -pubout -out public_key.pem

執行上面命令，會生成private_key.pem和public_key.pem兩個文件。

示例代碼（類庫）：

class Rsa2 { private static $PRIVATE_KEY = ’private_key.pem 內容’; private static $PUBLIC_KEY = ’public_key.pem 內容’; /** * 獲取私鑰 * @return bool|resource */ private static function getPrivateKey() {$privateKey = self::$PRIVATE_KEY;return openssl_pkey_get_private($privateKey); } /** * 獲取公鑰 * @return bool|resource */ private static function getPublicKey() {$publicKey = self::$PUBLIC_KEY;return openssl_pkey_get_public($publicKey); } /** * 私鑰加密 * @param string $data * @return null|string */ public static function privateEncrypt($data = ’’) {if (!is_string($data)) { return null;}return openssl_private_encrypt($data,$encrypted,self::getPrivateKey()) ? base64_encode($encrypted) : null; } /** * 公鑰加密 * @param string $data * @return null|string */ public static function publicEncrypt($data = ’’) {if (!is_string($data)) { return null;}return openssl_public_encrypt($data,$encrypted,self::getPublicKey()) ? base64_encode($encrypted) : null; } /** * 私鑰解密 * @param string $encrypted * @return null */ public static function privateDecrypt($encrypted = ’’) {if (!is_string($encrypted)) { return null;}return (openssl_private_decrypt(base64_decode($encrypted), $decrypted, self::getPrivateKey())) ? $decrypted : null; } /** * 公鑰解密 * @param string $encrypted * @return null */ public static function publicDecrypt($encrypted = ’’) {if (!is_string($encrypted)) { return null;}return (openssl_public_decrypt(base64_decode($encrypted), $decrypted, self::getPublicKey())) ? $decrypted : null; } /** * 創建簽名 * @param string $data 數據 * @return null|string */ public function createSign($data = ’’) {if (!is_string($data)) { return null;}return openssl_sign($data, $sign, self::getPrivateKey(), OPENSSL_ALGO_SHA256) ? base64_encode($sign) : null; } /** * 驗證簽名 * @param string $data 數據 * @param string $sign 簽名 * @return bool */ public function verifySign($data = ’’, $sign = ’’) {if (!is_string($sign) || !is_string($sign)) { return false;}return (bool)openssl_verify($data, base64_decode($sign), self::getPublicKey(), OPENSSL_ALGO_SHA256); }}

示例代碼：

$rsa2 = new Rsa2();$privateEncrypt = $rsa2->privateEncrypt(’鋤禾日當午’);echo ’私鑰加密后:’.$privateEncrypt.’<br>’;$publicDecrypt = $rsa2->publicDecrypt($privateEncrypt);echo ’公鑰解密后:’.$publicDecrypt.’<br>’;$publicEncrypt = $rsa2->publicEncrypt(’鋤禾日當午’);echo ’公鑰加密后:’.$publicEncrypt.’<br>’;$privateDecrypt = $rsa2->privateDecrypt($publicEncrypt);echo ’私鑰解密后:’.$privateDecrypt.’<br>’;$sign = $rsa2->createSign(’鋤禾日當午’);echo ’生成簽名:’.$privateEncrypt.’<br>’;$status = $rsa2->verifySign(’鋤禾日當午’, $sign);echo ’驗證簽名:’.($status ? ’成功’ : ’失敗’) ;

運行結果：

部分數據截圖如下：

JS-RSA

JSEncrypt：用于執行OpenSSL RSA加密、解密和密鑰生成的Javascript庫。

Git源：https://github.com/travist/jsencrypt

應用場景：

我們在做 WEB 的登錄功能時一般是通過 Form 提交或 Ajax 方式提交到服務器進行驗證的。

為了防止抓包，登錄密碼肯定要先進行一次加密（RSA），再提交到服務器進行驗證。

一些大公司都在使用，比如淘寶、京東、新浪 等。

示例代碼就不提供了，Git上提供的代碼是非常完善的。

密鑰安全管理

這些加密技術，能夠達到安全加密效果的前提是密鑰的保密性。

實際工作中，不同環境的密鑰都應該不同（開發環境、預發布環境、正式環境）。

那么，應該如何安全保存密鑰呢？

環境變量

將密鑰設置到環境變量中，每次從環境變量中加載。

配置中心

將密鑰存放到配置中心，統一進行管理。

密鑰過期策略

設置密鑰有效期，比如一個月進行重置一次。

在這里希望大佬提供新的思路 ~

接口調試工具

Postman

一款功能強大的網頁調試與發送網頁 HTTP 請求的 Chrome插件。

這個不用多介紹，大家肯定都使用過。

SocketLog

Git源：https://github.com/luofei614/SocketLog

解決的痛點：

正在運行的API有Bug，不能在文件中使用var_dump進行調試，因為會影響到client的調用。將日志寫到文件中，查看也不是很方便。 我們在二次開發一個新系統的時候，想查看執行了哪些Sql語句及程序的warning，notice等錯誤信息。

SocketLog，可以解決以上問題，它通過WebSocket將調試日志輸出到瀏覽器的console中。

使用方法

安裝、配置Chrome插件 SocketLog服務端安裝 PHP中用SocketLog調試 配置日志類型和相關參數在線接口文檔

接口開發完畢，需要給請求方提供接口文檔，文檔的編寫現在大部分都使用Markdown格式。

也有一些開源的系統，可以下載并安裝到自己的服務器上。

也有一些在線的系統，可以在線使用同時也支持離線導出。

根據自己的情況，選擇適合自己的文檔平臺吧。

常用的接口文檔平臺：

eolinker Apizza Yapi RAP2 DOClever擴展

一、在 HTTP 和 RPC 的選擇上，可能會有一些疑問，RPC框架配置比較復雜，明明用HTTP能實現為什么要選擇RPC？

下面簡單的介紹下 HTTP 與 RPC 的區別。

傳輸協議：

HTTP 基于 HTTP 協議。 RPC 即可以 HTTP 協議，也可以 TCP 協議。

HTTP 也是 RPC 實現的一種方式。

性能消耗：

HTTP 大部分基于 JSON 實現的，序列化需要時間和性能。 RPC 可以基于二進制進行傳輸，消耗性能少一點。

推薦一個像 JSON ，但比 JSON 傳輸更快占用更少的新型序列化類庫MessagePack。

官網地址：https://msgpack.org/

還有一些服務治理、負載均衡配置的區別。

使用場景：

比如瀏覽器接口、APP接口、第三方接口，推薦使用 HTTP。

比如集團內部的服務調用，推薦使用 RPC。

RPC 比 HTTP 性能消耗低，傳輸效率高，服務治理也方便。

推薦使用的 RPC 框架：Thrift。

二、動態令牌

簡單介紹下幾種動態令牌，感興趣的可以深入了解下。

OTP：One-Time Password 一次性密碼。

HOTP：HMAC-based One-Time Password 基于HMAC算法加密的一次性密碼。

TOTP：Time-based One-Time Password 基于時間戳算法的一次性密碼。

使用場景：

公司VPN登錄雙因素驗證 服務器登錄動態密碼驗證 網銀、網絡游戲的實體動態口令牌 銀行轉賬動態密碼小結

本文講了設計簽名驗證需要滿足的一些條件：可變性、時效性、唯一性、完整性。

還講了一些加密方法：單向散列加密、對稱加密、非對稱加密，同時分析了各種加密方法的優缺點，大家可以根據自己的業務特點進行自由選擇。

提供了 Aes、Rsa 相關代碼示例。

分享了可以編寫接口文檔的在線系統。

分享了開發過程中使用的接口調試工具。

擴展中分析了 HTTP 和 RPC 的區別，動態令牌的介紹等。

以上就是詳解PHP接口簽名驗證的詳細內容，更多關于PHP接口簽名驗證的資料請關注好吧啦網其它相關文章！