接口签名通过参数排序、拼接密钥、哈希计算实现安全验证:1. 排除非签名参数并按key升序排列;2. 拼接为“key=value”字符串后附加密钥;3. 用MD5或SHA256生成sign;4. 服务端重算sign比对,确保请求完整性与防篡改。
在开发API接口时,为了保证数据传输的安全性,防止参数被篡改或重放攻击,通常会采用接口签名(sign)机制。PHP实现接口签名验证的核心思路是:将请求参数按规则排序、拼接,再结合密钥通过哈希算法生成签名,服务端收到请求后重复该过程进行比对。
1. 参数排序与拼接
签名的第一步是对所有参与签名的参数进行规范化处理:
- 排除空值或不参与签名的字段(如sign本身)
- 将参数按键名(key)进行字典序升序排列
- 将排序后的参数以“key=value”形式拼接成字符串
示例原始参数:
[ 'timestamp' => '1717756800', 'nonce' => 'abc123', 'appid' => '123456', 'data' => 'hello' ]
按key排序后得到:
立即学习“PHP免费学习笔记(深入)”;
appid=123456&data=hello&nonce=abc123×tamp=1717756800
2. 拼接待签字符串并加入密钥
将上一步得到的拼接字符串与预先约定的密钥(secret key)组合。常见的做法是在末尾追加密钥:
$raw_string = 'appid=123456&data=hello&nonce=abc123×tamp=1717756800'; $secret_key = 'your_secret_key_here'; $string_to_sign = $raw_string . '&key=' . $secret_key; // 或者直接拼接:$raw_string . $secret_key,视业务规则而定
注意:密钥不随请求发送,仅服务端保存,确保安全性。
3. 生成签名(Hash计算)
使用哈希算法对拼接后的字符串进行加密,常用MD5或SHA256:
$sign = md5($string_to_sign); // 小写32位 // 或 strtoupper(md5($string_to_sign)) 转为大写
客户端将生成的sign作为参数附加到请求中,例如:
GET /api/data?appid=123456&data=hello×tamp=1717756800&nonce=abc123&sign=a1b2c3d4...
4. 服务端验证签名
服务端收到请求后执行相同流程:
- 提取所有非sign参数
- 按key排序并拼接
- 添加密钥生成待签字符串
- 计算hash并与传入的sign对比
代码片段示例:
function generateSign($params, $secret) {
unset($params['sign']); // 去除sign字段
ksort($params); // 按键排序
$query_parts = [];
foreach ($params as $k => $v) {
$query_parts[] = "$k=$v";
}
$query_string = implode('&', $query_parts);
$string_to_sign = $query_string . '&key=' . $secret;
return strtolower(md5($string_to_sign));
}
// 验证逻辑
$client_sign = $_GET['sign'] ?? '';
$local_sign = generateSign($_GET, 'your_secret_key_here');
if ($client_sign === $local_sign) {
echo "签名验证通过";
} else {
http_response_code(401);
die("非法请求");
}
基本上就这些。关键是两端规则一致,注意编码(如URL编码处理)、时间戳有效期校验和nonce防重放,才能构建一个安全可靠的接口签名体系。
