具体的校验步骤可以自定义,下面是比较直观的一种形式:
1. 客户端:请求参数带上时间,进行首字母排序,连接私钥后,取得加密结果;
客户端请求时带上这个加密结果作为sign参数。
2. 服务端:对sign参数进行校验(过程同上),如果正确且在有效期内,则通过。
示例程序:
<?php /** * SignCheck : session key 对称式 加密校验. * * 注:公私钥模式可以避免私钥被窃取. * * @farwish.com */ // Client: $time = time(); $url = "b=v1&a=v2&c=v3&time={$time}"; // Client和Server通用私钥. $uuid = 'b9514c52-5363-4364-b73f-a2ec93ae6b34'; function getSign($url, $uuid, $encode = true) { parse_str( $url, $arr ); if (! $encode ) { unset($arr['sign']); } // 1. 参数按首字母排序 ksort($arr, SORT_REGULAR); $str = http_build_query($arr); // 2. 参数字符串拼接私钥(TODO自定义) $new_str = $str . $uuid; // 3. 生成新sign(TODO自定义) $sign = openssl_encrypt($new_str, 'AES-128-CBC', $uuid, OPENSSL_RAW_DATA, substr($uuid, 0, 16)); return md5($sign); } // 4. 参数拼接sign进行请求 $client_sign = getSign($url, $uuid); $request_url = $url . "&sign={$client_sign}"; // Server: // 去除sign重新校验,并检查time有效期 $server_sign = getSign($request_url, $uuid, false); //sleep(4); if ( ($client_sign == $server_sign) && ( (time() - $time) < 5 ) ) { echo "{$server_sign} 有效,且在有效期内. "; } else { echo "无效请求. "; }
Source:https://github.com/farwish/php-lab/blob/master/lab/SignCheck.php
Bound in Library:https://github.com/farwish/alcon/blob/master/src/Supports/Helper.php
Tests:https://github.com/farwish/alcon/blob/master/tests/Supports/HelperTest.php
小结:这种校验方式,只有完全知道了校验算法的客户端才能模拟合法请求,防止数据篡改,相对安全。
如果需要验证用户登录的情况,可以使用JWT的方式。