使用HMAC-SHA256可实现PHP数据安全传输,通过hash_hmac生成签名、参数排序拼接、hash_equals验证防篡改,并可封装支持多算法。
如果您需要在PHP中实现数据的安全传输,通常会使用HMAC(Hash-based Message Authentication Code)结合SHA系列哈希算法进行签名与验证。这种方式可以确保数据的完整性与来源可靠性。以下是几种常用的PHP实现方式:
一、使用hash_hmac函数生成HMAC-SHA256签名
PHP内置的hash_hmac函数可用于生成基于密钥的消息认证码,支持多种哈希算法,其中SHA256安全性较高且广泛使用。
1、定义待签名的数据和密钥,例如一个关联数组和私钥字符串。
2、将数据转换为标准格式,如使用json_encode或http_build_query进行序列化。
立即学习“PHP免费学习笔记(深入)”;
3、调用hash_hmac函数,传入算法类型、原始数据和密钥,返回签名值。
示例代码:$signature = hash_hmac('sha256', $data, $secretKey);
二、对请求参数按字典序排序后签名
为了保证前后端签名一致,常要求将参数按键名升序排列后再拼接成字符串进行签名,避免因顺序不同导致签名不一致。
1、将所有参与签名的参数放入一个数组中,排除空值或特定字段如sign本身。
2、使用ksort()函数对数组按键名进行升序排序。
3、遍历排序后的数组,以“key=value”形式连接成字符串,中间用&符分隔。
4、使用hash_hmac对最终字符串生成签名。
注意:拼接时不要添加末尾的&符号,保持一致性。
三、验证接收到的数据签名
接收方需使用相同的算法和密钥重新计算签名,并与传来的签名比对,防止数据被篡改。
1、从请求中提取sign参数和其他业务参数。
2、按照相同的规则重建待签字符串(包括排序、拼接等步骤)。
3、使用相同的hash_hmac方法生成本地签名。
4、使用hash_equals函数安全比较两个签名,防止时序攻击。
必须使用hash_equals()而非==进行比较,以增强安全性。
四、支持多种SHA算法的灵活封装
通过封装一个通用函数,可动态选择HMAC-SHA1、HMAC-SHA256或HMAC-SHA512等算法,提升代码复用性。
1、定义一个函数accept三个参数:数据、密钥、算法名称(如'sha256')。
2、检查所选算法是否在PHP支持列表中(可通过hash_algos()获取)。
3、调用hash_hmac并返回标准化的小写十六进制字符串。
推荐默认使用sha256,兼顾性能与安全性。
