服务器端数据合法性验证:签名sign和口令token原理

Posted running-fly

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服务器端数据合法性验证:签名sign和口令token原理相关的知识,希望对你有一定的参考价值。

有时候,你也许会想:

我写的接口,那别人要是知道url,并且知道其需要的数据结构和逻辑,那不是都可以访问了?

甚至是,客户点传递过来的数据,是不是被恶意修改了?

这时,我们可能需要“验证”一下。比如:登录验证,只有登录以后才能来到后台。

 

这里给出几种【验证】方式,大神勿喷:

一:sign验证法:

这种验证方式,一般过程是:

第一:给你一个【私钥】[app_secret] 和[app_id]

第二:你要提交的所有数据都需要提供sign签名。

第三:sign签名的获取方式。

例如:给用户id为99的人增加100积分:


$app_id = \'Te001\';
$secret = \'e10adc3949ba59abbe56e057f20f883e\';


$url = \'http://127.0.0.1/test/apiDataCheck\';
$post = array(
\'user_id\' => 99,
\'point\' => 100
);



function addSign($url, $data){
$str = \'\';
$data[\'app_id\'] = $app_id;
ksort($data);
foreach($data as $k => $v){
$str .= $k.\'=\'.$v.\'&\';
}
$str = substr($str, 0, -1);
$str = $url.\'?\'.$str.$secret;
$data[\'sign\'] = md5($str);
return $data;
}


curl_post($url, addSign($url,$post));

 

addSign 就是一个sign的获取方式:所有数据加上app_id,字段顺序排序,以get参数方式连接。然后url+?+get参数+私钥,进行md5加密获取sign签名。进而进行接口调用。

第四:服务器端验证数据合法性。

$url = \'http://127.0.0.1/test/apiDataCheck\';
$app_secret = \'select app_secret from app_id_secret where app_id=\'.intval($_POST[\'app_id\']);

function checkSign($url, $post){
    $str = \'\';
    $sign = $post[\'sign\'];
    unset($post[\'sign\']);
    foreach($post as $k => $v){
        $str .= $k.\'=\'.$v.\'&\';
    }
    $str = substr($str, 0, -1);
    $str = $url.\'?\'.$str.$app_secret;
    return $sign == md5($str);
}

if($app_secret && checkSign($url, $_POST)){
    $res = \'update user_point set point=point+100 where user_id=\'.$_POST[\'user_id\'];
}

接口在操作数据之前,首先按照原本既定的sign生成方式,验证sign合法性,进而进行下一步操作。

 

很多第三方的接口都存在这样的一个签名验证,如:美团外卖和微信等。但其原理大同小异。

 

二:token法:

token法的步骤大概是:

1:给你一个app_id和app_secret。

2:提供一个利用app_id和app_secret获取token的接口。

3:token的时效性设定。

4:获取token接口的使用次数限制。

1:客户端获取token
$app_id = \'Token001\';
$app_secret = \'e10adc3949ba59abbe56e057f20f883e\';

$url = \'http://127.0.0.1/token/getToken?app_id=\'.$app_ip.\'&app_secret=\'.$app_secret;

$token = curl_get($url);

// $token = array(
//     \'token\' => \'e10adc3949ba59abbe56e057f20f883e\',
//     \'expire\' => \'1444444400\'
// );

session(\'token\', $token[\'token\']);
session(\'expire\', $token[\'expire\']);
2:服务器生成token并返回

define(\'EXPIRE\', 3600);
$post = array(
    $app_id = \'Token001\';
    $app_secret = \'e10adc3949ba59abbe56e057f20f883e\';
);
$tcount = \'select count(*) from app_token where app_id=\'.$post[\'app_id\'];
if($tcount >= 50){
    // app_id 获取token次数太多
}else{
    $token[\'token\'] = md5($post[\'app_id\'].time().$post[\'app_secret\'].EXPIRE);
    $token[\'expire\'] = time()+EXPIRE;
    $insert = \'insert into app_token value(null, \'.$post[\'app_id\'].\', \'.$token[\'token\'].\');\';
}

5:服务器验证token:

1:接口调用 
$url = \'http://127.0.0.1/token/getUserInfo\';
$post[\'user_id\'] = 1;
if(time() < session(\'expire\')){
  $post[\'user_id\'] = 1;
  $post[\'token\'] = session(\'token\');
  $post[\'app_id\'] = \'Token001\';
}else{
  步骤1:
}
$userInfo = curl_post($post);

2:接口验证token $post = array( $user_id = 1; $token = \'e10adc3949ba59abbe56e057f20f883e\';
   $app_id = \'Token001\'; );
$token = \'select token from app_token where app_id=\'.$post[\'app_id\'].\' order by id desc limit 1\'; if($token == $post[\'token\']){ return \'select * from user where user_id=\'.$post[\'user_id\']; }else{ // token 错误 }

token的生成办法可以自由设定,token的获取次数和过期时间都可以加进去。上例只是说明下原理和思路。

ps:签名就是客户端和服务端分别按照某种数据格式把数据加密然后对比(密钥各自存,不要传)

     token是客户端去请求服务器时,服务器生成token,服务器在mysql里面记录下,然后把token返回给客户端,客户端每次访问服务器的时候都会携带token,服务器用记录的token和携带的token做对比。

转载  https://www.cnblogs.com/wicub/p/6707511.html

以上是关于服务器端数据合法性验证:签名sign和口令token原理的主要内容,如果未能解决你的问题,请参考以下文章

接口签名实现

基于Token的验证

Java web的安全约束--Basic验证

pay支付参数验签失败咋回事

有人做过支付宝移动端,服务器回调验证签名的么

访问控制与鉴权设计