工做中,咱们时刻都会和接口打交道,有的是调取他人的接口,有的是为他人提供接口,在这过程当中确定都离不开签名验证。php
在设计签名验证的时候,必定要知足如下几点:git
下面主要分享一些工做中经常使用的加解密的方法。github
举例:/api/login?username=xxx&password=xxx&sign=xxx算法
发送方和接收方约定一个加密的盐值,进行生成签名。segmentfault
示例代码:api
//建立签名 private function _createSign() { $strSalt = '1scv6zfzSR1wLaWN'; $strVal = ''; if ($this->params) { $params = $this->params; ksort($params); $strVal = http_build_query($params, '', '&', PHP_QUERY_RFC3986); } return md5(md5($strSalt).md5($strVal)); } //验证签名 if ($_GET['sign'] != $this->_createSign()) { echo 'Invalid Sign.'; }
上面使用到了 MD5 方法,MD5 属于单向散列加密。浏览器
把任意长的输入串变化成固定长的输出串,而且由输出串难以获得输入串,这种方法称为单项散列加密。缓存
以 MD5 为例。安全
password_hash() 使用足够强度的单向散列算法建立密码的哈希(hash)。服务器
示例代码:
//密码加密 $password = '123456'; $strPwdHash = password_hash($password, PASSWORD_DEFAULT); //密码验证 if (password_verify($password, $strPwdHash)) { //Success } else { //Fail }
PHP 手册地址:
http://php.net/manual/zh/func...
同一个密钥能够同时用做数据的加密和解密,这种方法称为对称加密。
AES 是 DES 的升级版,密钥长度更长,选择更多,也更灵活,安全性更高,速度更快。
算法公开、计算量小、加密速度快、加密效率高。
发送方和接收方必须商定好密钥,而后使双方都能保存好密钥,密钥管理成为双方的负担。
相对大一点的数据量或关键数据的加密。
AES 加密类库在网上很容易找获得,请注意类库中的 mcrypt_encrypt
和 mcrypt_decrypt
方法!
在 PHP7.2 版本中已经被弃用了,在新版本中使用 openssl_encrypt
和 openssl_decrypt
两个方法。
示例代码(类库):
class Aes { /** * var string $method 加解密方法 */ protected $method; /** * var string $secret_key 加解密的密钥 */ protected $secret_key; /** * var string $iv 加解密的向量 */ protected $iv; /** * var int $options */ protected $options; /** * 构造函数 * @param string $key 密钥 * @param string $method 加密方式 * @param string $iv 向量 * @param int $options */ public function __construct($key = '', $method = 'AES-128-CBC', $iv = '', $options = OPENSSL_RAW_DATA) { $this->secret_key = isset($key) ? $key : 'CWq3g0hgl7Ao2OKI'; $this->method = in_array($method, openssl_get_cipher_methods()) ? $method : 'AES-128-CBC'; $this->iv = $iv; $this->options = in_array($options, [OPENSSL_RAW_DATA, OPENSSL_ZERO_PADDING]) ? $options : OPENSSL_RAW_DATA; } /** * 加密 * @param string $data 加密的数据 * @return string */ public function encrypt($data = '') { return base64_encode(openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv)); } /** * 解密 * @param string $data 解密的数据 * @return string */ public function decrypt($data = '') { return openssl_decrypt(base64_decode($data), $this->method, $this->secret_key, $this->options, $this->iv); } }
示例代码:
$aes = new Aes('HFu8Z5SjAT7CudQc'); $encrypted = $aes->encrypt('锄禾日当午'); echo '加密前:锄禾日当午<br>加密后:', $encrypted, '<hr>'; $decrypted = $aes->decrypt($encrypted); echo '加密后:', $encrypted, '<br>解密后:', $decrypted;
运行结果:
须要两个密钥来进行加密和解密,这两个秘钥分别是公钥(public key)和私钥(private key),这种方法称为非对称加密。
与对称加密相比,安全性更好,加解密须要不一样的密钥,公钥和私钥均可进行相互的加解密。
加密和解密花费时间长、速度慢,只适合对少许数据进行加密。
适合于对安全性要求很高的场景,适合加密少许数据,好比支付数据、登陆数据等。
算法名称 | 标准名称 | 备注 |
---|---|---|
RSA2 | SHA256WithRSA | 强制要求RSA密钥的长度至少为2048 |
RSA | SHA1WithRSA | 对RSA密钥的长度不限制,推荐使用2048位以上 |
RSA2 比 RSA 有更强的安全能力。
蚂蚁金服,新浪微博 都在使用 RSA2 算法。
建立公钥和私钥:
openssl genrsa -out private_key.pem 2048 openssl rsa -in private_key.pem -pubout -out public_key.pem
执行上面命令,会生成 private_key.pem
和 public_key.pem
两个文件。
示例代码(类库):
class Rsa2 { private static $PRIVATE_KEY = 'private_key.pem 内容'; private static $PUBLIC_KEY = 'public_key.pem 内容'; /** * 获取私钥 * @return bool|resource */ private static function getPrivateKey() { $privateKey = self::$PRIVATE_KEY; return openssl_pkey_get_private($privateKey); } /** * 获取公钥 * @return bool|resource */ private static function getPublicKey() { $publicKey = self::$PUBLIC_KEY; return openssl_pkey_get_public($publicKey); } /** * 私钥加密 * @param string $data * @return null|string */ public static function privateEncrypt($data = '') { if (!is_string($data)) { return null; } return openssl_private_encrypt($data,$encrypted,self::getPrivateKey()) ? base64_encode($encrypted) : null; } /** * 公钥加密 * @param string $data * @return null|string */ public static function publicEncrypt($data = '') { if (!is_string($data)) { return null; } return openssl_public_encrypt($data,$encrypted,self::getPublicKey()) ? base64_encode($encrypted) : null; } /** * 私钥解密 * @param string $encrypted * @return null */ public static function privateDecrypt($encrypted = '') { if (!is_string($encrypted)) { return null; } return (openssl_private_decrypt(base64_decode($encrypted), $decrypted, self::getPrivateKey())) ? $decrypted : null; } /** * 公钥解密 * @param string $encrypted * @return null */ public static function publicDecrypt($encrypted = '') { if (!is_string($encrypted)) { return null; } return (openssl_public_decrypt(base64_decode($encrypted), $decrypted, self::getPublicKey())) ? $decrypted : null; } /** * 建立签名 * @param string $data 数据 * @return null|string */ public function createSign($data = '') { if (!is_string($data)) { return null; } return openssl_sign($data, $sign, self::getPrivateKey(), OPENSSL_ALGO_SHA256) ? base64_encode($sign) : null; } /** * 验证签名 * @param string $data 数据 * @param string $sign 签名 * @return bool */ public function verifySign($data = '', $sign = '') { if (!is_string($sign) || !is_string($sign)) { return false; } return (bool)openssl_verify($data, base64_decode($sign), self::getPublicKey(), OPENSSL_ALGO_SHA256); } }
示例代码:
$rsa2 = new Rsa2(); $privateEncrypt = $rsa2->privateEncrypt('锄禾日当午'); echo '私钥加密后:'.$privateEncrypt.'<br>'; $publicDecrypt = $rsa2->publicDecrypt($privateEncrypt); echo '公钥解密后:'.$publicDecrypt.'<br>'; $publicEncrypt = $rsa2->publicEncrypt('锄禾日当午'); echo '公钥加密后:'.$publicEncrypt.'<br>'; $privateDecrypt = $rsa2->privateDecrypt($publicEncrypt); echo '私钥解密后:'.$privateDecrypt.'<br>'; $sign = $rsa2->createSign('锄禾日当午'); echo '生成签名:'.$privateEncrypt.'<br>'; $status = $rsa2->verifySign('锄禾日当午', $sign); echo '验证签名:'.($status ? '成功' : '失败') ;
运行结果:
部分数据截图以下:
JSEncrypt :用于执行OpenSSL RSA加密、解密和密钥生成的Javascript库。
Git源:https://github.com/travist/js...
应用场景:
咱们在作 WEB 的登陆功能时通常是经过 Form 提交或 Ajax 方式提交到服务器进行验证的。
为了防止抓包,登陆密码确定要先进行一次加密(RSA),再提交到服务器进行验证。
一些大公司都在使用,好比淘宝、京东、新浪 等。
示例代码就不提供了,Git上提供的代码是很是完善的。
这些加密技术,可以达到安全加密效果的前提是 密钥的保密性。
实际工做中,不一样环境的密钥都应该不一样(开发环境、预发布环境、正式环境)。
那么,应该如何安全保存密钥呢?
将密钥设置到环境变量中,每次从环境变量中加载。
将密钥存放到配置中心,统一进行管理。
设置密钥有效期,好比一个月进行重置一次。
在这里但愿大佬提供新的思路 ~
一款功能强大的网页调试与发送网页 HTTP 请求的 Chrome插件。
这个不用多介绍,你们确定都使用过。
Git源:https://github.com/luofei614/...
解决的痛点:
SocketLog,能够解决以上问题,它经过WebSocket将调试日志输出到浏览器的console中。
使用方法
接口开发完毕,须要给请求方提供接口文档,文档的编写如今大部分都使用Markdown格式。
也有一些开源的系统,能够下载并安装到本身的服务器上。
也有一些在线的系统,能够在线使用同时也支持离线导出。
根据本身的状况,选择适合本身的文档平台吧。
经常使用的接口文档平台:
1、在 HTTP 和 RPC 的选择上,可能会有一些疑问,RPC框架配置比较复杂,明明用HTTP能实现为何要选择RPC?
下面简单的介绍下 HTTP 与 RPC 的区别。
传输协议:
HTTP 也是 RPC 实现的一种方式。
性能消耗:
推荐一个像 JSON ,但比 JSON 传输更快占用更少的新型序列化类库 MessagePack。
官网地址:https://msgpack.org/
还有一些服务治理、负载均衡配置的区别。
使用场景:
好比浏览器接口、APP接口、第三方接口,推荐使用 HTTP。
好比集团内部的服务调用,推荐使用 RPC。
RPC 比 HTTP 性能消耗低,传输效率高,服务治理也方便。
推荐使用的 RPC 框架:Thrift。
2、动态令牌
简单介绍下几种动态令牌,感兴趣的能够深刻了解下。
OTP:One-Time Password 一次性密码。
HOTP:HMAC-based One-Time Password 基于HMAC算法加密的一次性密码。
TOTP:Time-based One-Time Password 基于时间戳算法的一次性密码。
使用场景:
本文讲了设计签名验证须要知足的一些条件:可变性、时效性、惟一性、完整性。
还讲了一些加密方法:单向散列加密、对称加密、非对称加密,同时分析了各类加密方法的优缺点,你们能够根据本身的业务特色进行自由选择。
提供了 Aes、Rsa 相关代码示例。
分享了能够编写接口文档的在线系统。
分享了开发过程当中使用的接口调试工具。
扩展中分析了 HTTP 和 RPC 的区别,动态令牌的介绍等。
还提出了一个问题,关于如何安全的进行密钥管理? , 欢迎各位 前辈/大佬,提供新的思路 ~
本文欢迎转发,转发请注明做者和出处,谢谢!