在對於API的開發中 最讓人頭疼的 就是接口數據暴露 讓一些有心之人 抓包之后惡意請求 那么如何解決這一弊端呢?自然而然的 我們就想到了 加密 那我們又如何加密 如何解密 才能使之有最安全的效率呢?這是一個值得我們深思的問題 帶着這些問題 我們來嘗試着 一一解決他們
首先加密校驗是需要在每次請求的時候 都要去做的 所以我們需要 寫一個公共類 讓其他類來繼承 暫定這個類就為 Common 吧
<?php /** * Created by PhpStorm. * User: Administrator * Date: 2019/8/15 * Time: 15:00 */ namespace app\index\controller; use think\Controller; class Common extends Controller { public function _initialize(){ $this->checkRequestAuth(); } public function checkRequestAuth(){ ##獲取頭信息 $header = request()->header(); halt($header); } }
上面代碼很簡單 我們就是單純的獲取一下header里面的信息 為什么要獲取header而不是body里的信息呢 可能header好聽吧(手動滑稽) 那么既然我們獲取的是header里面的內容 那么這里面去放什么內容 才能是我們更好的校驗呢 這就需要和前端小姐姐共同商議啦 當然 我這邊已經確定 我們需要的 參數啦
sign 參數加密后生成的簽名
version APP版本號
app_type APP類型 ios android之類
did 唯一標識ID
model 類似手機型號之類的值
在我們定義好header里面的內容之后 那么我們就要開始在 Common類里面大展拳腳了
我們需要了解 sign 加密是需要客戶端去做的 解密是需要我們服務端來做的 但是正常流程來說 是需要我們服務端測試加密解密無誤后 才開放接口給客戶端的 所以這里 我們必須 去實現加密功能
下來 我們去搞一波 加密算法 我們使用 AES加密算法來進行測試
<?php namespace app\common\lib; /** * aes 加密 解密類庫 * @by singwa * Class Aes * @package app\common\lib */ class Aes { /** * var string $method 加解密方法,可通過openssl_get_cipher_methods()獲得 */ protected $method; /** * var string $secret_key 加解密的密鑰 */ protected $secret_key; /** * var string $iv 加解密的向量,有些方法需要設置比如CBC */ protected $iv; /** * var string $options (不知道怎么解釋,目前設置為0沒什么問題) */ protected $options; /** * 構造函數 * * @param string $key 密鑰 * @param string $method 加密方式 * @param string $iv iv向量 * @param mixed $options 還不是很清楚 * */ public function __construct($key, $method = 'AES-128-ECB', $iv = '', $options = 0) { // key是必須要設置的 $this->secret_key = isset($key) ? $key : config('app.aeskey'); $this->method = $method; $this->iv = $iv; $this->options = $options; } /** * 加密方法,對數據進行加密,返回加密后的數據 * * @param string $data 要加密的數據 * * @return string * */ public function encrypt($data) { return openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv); } /** * 解密方法,對數據進行解密,返回解密后的數據 * * @param string $data 要解密的數據 * * @return string * */ public function decrypt($data) { return openssl_decrypt($data, $this->method, $this->secret_key, $this->options, $this->iv); } }
秘鑰寫在配置文件里
return [ 'aeskey' => 'asdasd4wq5646', #AES秘鑰 服務端必須和客戶端保持一致 'method' => 'AES-128-ECB', 'iv' => '', 'options' => '0', ];
現在我們的 加密算法已經准備就緒 下來我們需要做的就是 將傳進來的參數進行整合 加密后 返回 這樣我們的 sign就生成了
因為生成sign屬於鑒權類型 所以我們 在app\common\lib下新建 IAuth 類
<?php /** * Created by PhpStorm. * User: Administrator * Date: 2019/8/15 * Time: 16:06 */ namespace app\common\lib; use app\common\lib\Aes; class IAuth { /** * 生成每次請求的sign * @param array $data * @return string */ public static function setSign($data = []){ ## 1 按字典進行相對應的排序 ksort($data); ## 2 轉換為&拼接的參數 $string = http_build_query($data); ## 3 通過 aes 來加密 $string = (new Aes())->encrypt($string); return $string; } }
生成sign類寫好了 我們去測試下
<?php /** * Created by PhpStorm. * User: Administrator * Date: 2019/8/15 * Time: 15:03 */ namespace app\index\controller; use app\common\lib\Aes; use app\common\lib\IAuth; class Test extends Common { public function index(){ ## 加密部分 // $data = [ // 'did'=>1, // 'version'=>"1.1.0", // ]; // // halt(IAuth::setSign($data)); #解密部分 $str = "g/1A3h+7XZZrdc3Gw1yEJBEAWTiKEm/veV5vMlyFLpc="; halt((new Aes())->decrypt($str)); } }
加密解密都沒有問題 生成sign成功 下一節 我們進行驗證操作