php用来做接口时,如何加密?

php用来做接口时,如何加密。之前是直接客户端一个ajax过来,Php端直接给数据,但这样总觉得不安全。。

阅读 27.6k
评论
    12 个回答
    • 232

    客户端使用加密算法和一个key将接口名,参数等信息加密, 例如将
    http://example.com/getUser?id=100
    加密为
    http://example.com/decode?data=xxxxx

    其中, data的值xxxxx为getUser?id=100加密后的值

    服务器接收到data后,对data的值使用和客户端相同的算法和key进行解密, 解析接口和参数,并调用

    下面是我写的一个解析方法, 供你参考下

        /**
         * 解码
         */
        public function decode()
        {
            $this->load->library('mcrypt');
            $data      = $this->myinput->get('data', false, '');
            $data      = base64_decode($data);
            $data      = $this->mcrypt->decrypt($data);
            $parse_url = parse_url($data);
            $function  = $parse_url['path'];
            if (isset($parse_url['query'])) {
                $arrQuery = explode('&', $parse_url['query']);
                foreach ($arrQuery as $param) {
                    $item           = explode('=', $param);
                    $_GET[$item[0]] = $item[1];
                }
            }
            return $this->$function();
        }
    

      题主的问题不太明确,大家都是在回答怎么做身份验证

      1. 传输过程中的安全问题
        为了防止在不安全的网络环境下传输的数据被截获和篡改,api 接口必须使用 https 协议。

      2. 客户端的安全问题
        在客户端对数据进行对称加密再提交的意义是非常有限的,因为key被暴露在客户端代码中。如果一定要加密,可以使用非对称加密算法。客户端加密的主要目的是避免关键数据以明文存储于内存甚至磁盘中,防止这些数据被用户篡改。

      3. 服务端的安全问题
        这个问题涉及面太广,关键就是不要信任任何从客户端提交上来的数据(无论你的客户端设计得多么天衣无缝),每一个参数都要做校验。

      至于如何进行身份验证,属于自定义 api 协议的范畴。可以参考大家所给出的方案。

        每次请求接口的时候 验证下access_token,比如这个token是个 MD5值,再在这个值上面加几个随机数,这这值就不是MD5的值了,可破解的难道就大大增加了。

        if($_POST['access_token']!=$access_token)
        {
            exit('access_token error'); //每次访问接口的时候 必须先调用验证token的判断。
        
        }
        

          题主的意思应该不是鉴权,而是担心数据被中间人看到!如果是这样的话可以启用https

            用过oauth2.0以及简单的token验证两种方法,后者最为简单。服务端和客户端约定好一个密钥,比如叫做123456789,然后把每次请求的参数key用字典序排好,然后和这个密钥md5一下,服务端按照相应的算法解密,如果一致,pass,否则,game over

              直接用https不就行了...

                • 107

                可以给每个客户端分配一个key
                然后用一种约定的方式加密md5签名一下
                每次请求都验证合法性

                  比较赞成使用auth2.0 token的形式来加密,其实还一种方法就是在header信息中带入加密信息

                    oauth 看看一些开发平台是怎么做的

                      • 4.9k
                        • 4.4k

                        你指的安全是怕被人cc攻击还是说怕被窃听到数据?

                        该答案已被忽略,原因:不符合答题规范:内容不是答案,可用评论、投票替代

                          该答案已被忽略,原因:

                            撰写回答

                            登录后参与交流、获取后续更新提醒

                            相似问题
                            推荐文章