描述
為了保證第三方應用與API服務器之間通信的安全性,防止Secret Key盜用、數據篡改等惡意攻擊行為,開放平臺API 服務器使用簽名機制,應用在調用開放平臺API,需要計算出一個簽名。
請求發起方式
通過應用客戶端發起的
通過頁面中的JAVAScript、Flash內的actionScript或手機、桌面客戶端程序發起。則簽名是由請求參數和Session Secret(每個用戶的Session Key所對應的密鑰)經過指定的加密算法生成的字符串。
通過第三方應用服務端發起的
簽名是由請求參數和應用的私鑰經過對應加密算法生成的。
簽名的生成
不進行簽名生成
不生成簽名的情況也是存在,例如web站點開發前后端分離。但是由于基于session的特性,可以支持正常的業務處理,不過要進行一些必要的準備。
- 登陸驗證
- 采用post方式提交數據
- 構造token令牌,例如md5(uniqid(rand(), TRUE)),可以設置失效時間
- 驗證referer,同源策略規劃
- Api授權
- 等等
帶有簽名密鑰
請求增加key和sign參數,解決身份驗證和防止參數篡改問題 ,私鑰不要外泄。
- 分配對應的key、secret
- 簽名生成規則
- 請求參數新增時間戳 timestamp ,可以驗證請求是否過期。
- $secret 作加密使用, 為了保證數據安全,不要在請求參數中體現。
升級優化
對于安全相對高點的系統來講,簽名會采用自己指定的復雜規則,header,body都會做相應處理。例如企業報文,電子訂單信息等。
數據加密/編碼算法列表
參考:
http://blog.sina.com.cn/s/blog_4f0322c50101ilml.html
1、常用密鑰算法
密鑰算法用來對敏感數據、摘要、簽名等信息進行加密,常用的密鑰算法包括:
- DES(Data Encryption Standard):數據加密標準,速度較快,適用于加密大量數據的場合;
- 3DES(Triple DES):是基于DES,對一塊數據用三個不同的密鑰進行三次加密,強度更高;
- RC2和 RC4:用變長密鑰對大量數據進行加密,比 DES 快;
- IDEA(International Data Encryption Algorithm)國際數據加密算法,使用 128 位密鑰提供非常強的安全性;
- RSA:由 RSA 公司發明,是一個支持變長密鑰的公共密鑰算法,需要加密的文件快的長度也是可變的;
- DSA(Digital Signature Algorithm):數字簽名算法,是一種標準的 DSS(數字簽名標準);
- AES(Advanced Encryption Standard):高級加密標準,是下一代的加密算法標準,速度快,安全級別高,目前 AES 標準的一個實現是 Rijndael 算法;
- BLOWFISH,它使用變長的密鑰,長度可達448位,運行速度很快;
- 其它算法,如ElGamal、Deffie-Hellman、新型橢圓曲線算法ECC等。
2、單向散列算法
單向散列函數一般用于產生消息摘要,密鑰加密等,常見的有:
- MD5(Message Digest Algorithm 5):是RSA數據安全公司開發的一種單向散列算法,MD5被廣泛使用,可以用來把不同長度的數據塊進行暗碼運算成一個128位的數值;
- SHA(Secure Hash Algorithm)這是一種較新的散列算法,可以對任意長度的數據運算生成一個160位的數值;
- mac(Message Authentication Code):消息認證代碼,是一種使用密鑰的單向函數,可以用它們在系統上或用戶之間認證文件或消息。HMAC(用于消息認證的密鑰散列法)就是這種函數的一個例子。
- CRC(Cyclic Redundancy Check):循環冗余校驗碼,CRC校驗由于實現簡單,檢錯能力強,被廣泛使用在各種數據校驗應用中。占用系統資源少,用軟硬件均能實現,是進行數據傳輸差錯檢測地一種很好的手段(CRC 并不是嚴格意義上的散列算法,但它的作用與散列算法大致相同,所以歸于此類)。
3、其它數據算法
其它數據算法包括一些常用編碼算法及其與明文(ASCII、Unicode 等)轉換等,如 Base 64、Quoted Printable、EBCDIC 等。
示例代碼,僅供參考:
/**
* 簽名生成算法
* @param array $params API調用的請求參數集合的關聯數組,不包含sign參數
* @return string 返回參數簽名值
*/
function getSignature($params, $secret)
{
$str = '';
ksort($params);
foreach ($params as $k => $v) {
$str .= "$k=$v";
}
$str .= $secret;
return md5($str);
}
/*
* 生成簽名,$args為請求參數,$key為私鑰
*/
function makeSignature($args, $key)
{
if(isset($args['sign'])) {
$oldSign = $args['sign'];
unset($args['sign']);
} else {
$oldSign = '';
}
ksort($args);
$requestString = '';
foreach($args as $k => $v) {
$requestString .= $k . '=' . urlencode($v);
}
$newSign = hash_hmac("md5",strtolower($requestString) , $key);
return $newSign;
}
<?php
/**
* 數據加密解密使用
*/
header("Content-type:text/html;charset=utf-8");
ini_set('date.timezone','Asia/Shanghai');
class Rsa
{
public $pubkey;
public $privkey;
function __construct($pubkey='',$privkey='')
{
$this->pubkey = $pubkey;
$this->privkey = $privkey;
}
/**加密**/
public function encrypt($data)
{
if (empty($data)) {
return null;
}
$pem = "-----BEGIN PUBLIC KEY-----n" . chunk_split($this->pubkey, 64, "n") . "-----END PUBLIC KEY-----n";
$key = openssl_pkey_get_public($pem);
$resultb = "";
$dataArray = str_split($data, 117);
foreach ($dataArray as $d) {
if (openssl_public_encrypt($d, $encrypted, $key)) {
$resultb .= $encrypted;
} else return null;
}
return base64_encode($resultb);
}
/**解密**/
public function decrypt($data)
{
$pem = "-----BEGIN PRIVATE KEY-----n" . chunk_split($this->privkey, 64, "n") . "-----END PRIVATE KEY-----n";
$key = openssl_pkey_get_private($pem);
$resultb = "";
$dataArray = str_split(base64_decode($data), 128);
foreach ($dataArray as $d) {
if (openssl_private_decrypt($d, $encrypted, $key)) {
$resultb .= $encrypted;
} else return null;
}
return $resultb;
}
/**數字簽名**/
public function md5($data)
{
$xtt=urlencode(base64_encode(md5($data))); //數字簽名
return $xtt;
}
}
<?php
/**
* CRC16-CCITT validator
* Class CRC
*/
class CRC{
private $crc_table = array(
0x0, 0x1021, 0x2042, 0x3063, 0x4084, 0x50a5, 0x60c6, 0x70e7,
0x8108, 0x9129, 0xa14a, 0xb16b, 0xc18c, 0xd1ad, 0xe1ce, 0xf1ef,
0x1231, 0x210, 0x3273, 0x2252, 0x52b5, 0x4294, 0x72f7, 0x62d6,
0x9339, 0x8318, 0xb37b, 0xa35a, 0xd3bd, 0xc39c, 0xf3ff, 0xe3de,
0x2462, 0x3443, 0x420, 0x1401, 0x64e6, 0x74c7, 0x44a4, 0x5485,
0xa56a, 0xb54b, 0x8528, 0x9509, 0xe5ee, 0xf5cf, 0xc5ac, 0xd58d,
0x3653, 0x2672, 0x1611, 0x630, 0x76d7, 0x66f6, 0x5695, 0x46b4,
0xb75b, 0xa77a, 0x9719, 0x8738, 0xf7df, 0xe7fe, 0xd79d, 0xc7bc,
0x48c4, 0x58e5, 0x6886, 0x78a7, 0x840, 0x1861, 0x2802, 0x3823,
0xc9cc, 0xd9ed, 0xe98e, 0xf9af, 0x8948, 0x9969, 0xa90a, 0xb92b,
0x5af5, 0x4ad4, 0x7ab7, 0x6a96, 0x1a71, 0xa50, 0x3a33, 0x2a12,
0xdbfd, 0xcbdc, 0xfbbf, 0xeb9e, 0x9b79, 0x8b58, 0xbb3b, 0xab1a,
0x6ca6, 0x7c87, 0x4ce4, 0x5cc5, 0x2c22, 0x3c03, 0xc60, 0x1c41,
0xedae, 0xfd8f, 0xcdec, 0xddcd, 0xad2a, 0xbd0b, 0x8d68, 0x9d49,
0x7e97, 0x6eb6, 0x5ed5, 0x4ef4, 0x3e13, 0x2e32, 0x1e51, 0xe70,
0xff9f, 0xefbe, 0xdfdd, 0xcffc, 0xbf1b, 0xaf3a, 0x9f59, 0x8f78,
0x9188, 0x81a9, 0xb1ca, 0xa1eb, 0xd10c, 0xc12d, 0xf14e, 0xe16f,
0x1080, 0xa1, 0x30c2, 0x20e3, 0x5004, 0x4025, 0x7046, 0x6067,
0x83b9, 0x9398, 0xa3fb, 0xb3da, 0xc33d, 0xd31c, 0xe37f, 0xf35e,
0x2b1, 0x1290, 0x22f3, 0x32d2, 0x4235, 0x5214, 0x6277, 0x7256,
0xb5ea, 0xa5cb, 0x95a8, 0x8589, 0xf56e, 0xe54f, 0xd52c, 0xc50d,
0x34e2, 0x24c3, 0x14a0, 0x481, 0x7466, 0x6447, 0x5424, 0x4405,
0xa7db, 0xb7fa, 0x8799, 0x97b8, 0xe75f, 0xf77e, 0xc71d, 0xd73c,
0x26d3, 0x36f2, 0x691, 0x16b0, 0x6657, 0x7676, 0x4615, 0x5634,
0xd94c, 0xc96d, 0xf90e, 0xe92f, 0x99c8, 0x89e9, 0xb98a, 0xa9ab,
0x5844, 0x4865, 0x7806, 0x6827, 0x18c0, 0x8e1, 0x3882, 0x28a3,
0xcb7d, 0xdb5c, 0xeb3f, 0xfb1e, 0x8bf9, 0x9bd8, 0xabbb, 0xbb9a,
0x4a75, 0x5a54, 0x6a37, 0x7a16, 0xaf1, 0x1ad0, 0x2ab3, 0x3a92,
0xfd2e, 0xed0f, 0xdd6c, 0xcd4d, 0xbdaa, 0xad8b, 0x9de8, 0x8dc9,
0x7c26, 0x6c07, 0x5c64, 0x4c45, 0x3ca2, 0x2c83, 0x1ce0, 0xcc1,
0xef1f, 0xff3e, 0xcf5d, 0xdf7c, 0xaf9b, 0xbfba, 0x8fd9, 0x9ff8,
0x6e17, 0x7e36, 0x4e55, 0x5e74, 0x2e93, 0x3eb2, 0xed1, 0x1ef0);
function genCRC(&$ptr){
$crc = 0x0000;
for ($i = 0; $i < strlen($ptr); $i++)
$crc = $this->crc_table[(($crc>>8) ^ ord($ptr[$i]))] ^ (($crc<<8) & 0x00FFFF);
$ret = sprintf('%02x%02x', floor($crc/256),$crc%256);
return strtoupper($ret);
}
}
<?php
/**
* Class DES
*/
class DES {
var $key;
var $iv;
function DES($key, $iv) {
$this->key = $key;
$this->iv = $iv;
}
function encrypt($str) {
$size = mcrypt_get_block_size(MCRYPT_DES, MCRYPT_MODE_CBC);
$str = $this->pkcs5Pad($str, $size);
// echo $size.'<br>';
// echo $str."<br>";
// echo $this->key.'<br>';
// echo $this->iv.'<br>';
// return mcrypt_cbc(MCRYPT_DES, $this->key, $str, MCRYPT_ENCRYPT, $this->iv);
$cipher = mcrypt_module_open(MCRYPT_DES, '', 'cbc', '');
mcrypt_generic_init($cipher, $this->key, $this->iv);
return mcrypt_generic($cipher, $str);
}
function decrypt($str) {
$strBin = $str;
// $str = mcrypt_cbc(MCRYPT_DES, $this->key, $strBin, MCRYPT_DECRYPT, $this->iv);
$cipher = mcrypt_module_open(MCRYPT_DES, '', 'cbc', '');
mcrypt_generic_init($cipher, $this->key, $this->iv);
$str = mdecrypt_generic($cipher, $str);
$str = $this->pkcs5Unpad($str);
return $str;
}
function pkcs5Unpad($text) {
$pad = ord($text{strlen($text) - 1});
if ($pad > strlen($text))
return false;
if (strspn($text, chr($pad), strlen($text) - $pad) != $pad)
return false;
return substr($text, 0, -1 * $pad);
}
function pkcs5Pad($text, $blocksize) {
$pad = $blocksize - (strlen($text) % $blocksize);
return $text . str_repeat(chr($pad), $pad);
}
}
class SaaSSafe{
private $iv;
function set_iv($i){
if($i != ''){
$this->iv = $i;
}
}
public function Encode($o_string){
$md5_string = md5($o_string);
$body_string = $md5_string.$o_string;
$key = $this->makeKey($this->iv);
$des_body_string = $this->desEn($body_string, $this->iv, $key);
$ret = base64_encode($des_body_string);
return $ret;
}
public function Decode($o_string){
$de_base_string = base64_decode($o_string);
$key = $this->makeKey($this->iv);
$de_des_string = $this->desDe($de_base_string, $this->iv, $key);
$ret = substr($de_des_string, 32);
return $ret;
}
function odd($o_string){
$ret = '';
for ($i=0; $i<strlen($o_string); $i++){
if($i%2 == 0){
$ret.=substr($o_string, $i,1);
}
}
return $ret;
}
function makeKey($iv){
if ($iv != ''){
return $this->odd(substr(md5($iv),8,16));
}
}
private function desEn($o_string, $iv, $key){
$des = new DES($key, $iv);
$ret = $des->encrypt($o_string);
return $ret;
}
private function desDe($o_string, $iv, $key){
$des = new DES($key, $iv);
$ret = $des->decrypt($o_string);
return $ret;
}
}
/*
參考:
https://mp.weixin.qq.com/s?__biz=MjM5NDM4MDIwNw==&mid=2448834812&idx=1&sn=d27c9478b98a184acdb8ca7e9fbfc751&chksm=b28a403c85fdc92aca0461556ee3b1114bbf43fe630baeb0a61f72187dcd6d355018baa1f82b#rd
*/
class Rsa2
{
private static $PRIVATE_KEY = 'rsa_private_key.pem 內容';
private static $PUBLIC_KEY = 'rsa_public_key.pem 內容';
/**
* 獲取私鑰
* @return bool|resource
*/
private static function getPrivateKey()
{
$privKey = self::$PRIVATE_KEY;
return openssl_pkey_get_private($privKey);
}
/**
* 獲取公鑰
* @return bool|resource
*/
private static function getPublicKey()
{
$publicKey = self::$PUBLIC_KEY;
return openssl_pkey_get_public($publicKey);
}
/**
* 創建簽名
* @param string $data 數據
* @return null|string
*/
public function createSign($data = '')
{
if (!is_string($data)) {
return null;
}
return openssl_sign(
$data,
$sign,
self::getPrivateKey(),
OPENSSL_ALGO_SHA256
) ? base64_encode($sign) : null;
}
/**
* 驗證簽名
* @param string $data 數據
* @param string $sign 簽名
* @return bool
*/
public function verifySign($data = '', $sign = '')
{
if (!is_string($sign) || !is_string($sign)) {
return false;
}
return (bool)openssl_verify(
$data,
base64_decode($sign),
self::getPublicKey(),
OPENSSL_ALGO_SHA256
);
}
}
補充: byte數組與字符串轉化類
<?php
/**
* byte數組與字符串轉化類
*/
class Bytes {
/**
* 轉換一個String字符串為byte數組
* @param $str 需要轉換的字符串
* @param $bytes 目標byte數組
* @author Zikie
*/
public static function getBytes($str) {
$len = strlen($str);
$bytes = array();
for($i=0;$i<$len;$i++) {
if(ord($str[$i]) >= 128){
$byte = ord($str[$i]) - 256;
}else{
$byte = ord($str[$i]);
}
$bytes[] = $byte ;
}
return $bytes;
}
/**
* 將字節數組轉化為String類型的數據
* @param $bytes 字節數組
* @param $str 目標字符串
* @return 一個String類型的數據
*/
public static function toStr($bytes) {
$str = '';
foreach($bytes as $ch) {
$str .= chr($ch);
}
return $str;
}
/**
* 轉換一個int為byte數組
* @param $byt 目標byte數組
* @param $val 需要轉換的字符串
* @author Zikie
*/
public static function integerToBytes($val) {
$byt = array();
$byt[0] = ($val & 0xff);
$byt[1] = ($val >> 8 & 0xff);
$byt[2] = ($val >> 16 & 0xff);
$byt[3] = ($val >> 24 & 0xff);
return $byt;
}
/**
* 從字節數組中指定的位置讀取一個Integer類型的數據
* @param $bytes 字節數組
* @param $position 指定的開始位置
* @return 一個Integer類型的數據
*/
public static function bytesToInteger($bytes, $position) {
$val = 0;
$val = $bytes[$position + 3] & 0xff;
$val <<= 8;
$val |= $bytes[$position + 2] & 0xff;
$val <<= 8;
$val |= $bytes[$position + 1] & 0xff;
$val <<= 8;
$val |= $bytes[$position] & 0xff;
return $val;
}
/**
* 轉換一個shor字符串為byte數組
* @param $byt 目標byte數組
* @param $val 需要轉換的字符串
* @author Zikie
*/
public static function shortToBytes($val) {
$byt = array();
$byt[0] = ($val & 0xff);
$byt[1] = ($val >> 8 & 0xff);
return $byt;
}
/**
* 從字節數組中指定的位置讀取一個Short類型的數據。
* @param $bytes 字節數組
* @param $position 指定的開始位置
* @return 一個Short類型的數據
*/
public static function bytesToShort($bytes, $position) {
$val = 0;
$val = $bytes[$position + 1] & 0xFF;
$val = $val << 8;
$val |= $bytes[$position] & 0xFF;
return $val;
}
}
?>