在自己的實(shí)際工作中，會(huì)經(jīng)常去調(diào)用網(wǎng)絡(luò)上提供的一些開(kāi)放性的API,其實(shí)自己在之前的公司也有寫(xiě)過(guò)API,但是可能是因?yàn)橹肮镜捻?xiàng)目規(guī)模比較小的原因，我們寫(xiě)的API一般是直接調(diào)用就可以可以了，對(duì)于API安全這塊基本沒(méi)有怎么重視。但是在有一次面試的過(guò)程中被問(wèn)到API的安全問(wèn)題，因?yàn)樽约簩?duì)這塊知之甚少，無(wú)疑被虐得很慘，所以就回來(lái)研究了一下，雖然網(wǎng)上照的資料都已經(jīng)寫(xiě)的非常詳細(xì)了，但是自己決定還是自己再記一筆。
對(duì)于API安全這塊，我們要考慮三個(gè)問(wèn)題：
1.請(qǐng)求參數(shù)是否被篡改;
2.請(qǐng)求來(lái)源是否合法;
3.請(qǐng)求是否具有唯一性。

為了保證數(shù)據(jù)在通信時(shí)的安全性，我們可以采用參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。

案列分析
我們通過(guò)給某 [移動(dòng)端(app)] 寫(xiě) [后臺(tái)接口(api)] 的案例進(jìn)行分析：
客戶端： 以下簡(jiǎn)稱app
后臺(tái)接口：以下簡(jiǎn)稱api
我們通過(guò)app查詢產(chǎn)品列表這個(gè)操作來(lái)進(jìn)行分析：
app中點(diǎn)擊查詢按鈕->調(diào)用api進(jìn)行查詢->返回查詢結(jié)果->顯示在app中

一.不進(jìn)行驗(yàn)證的方式

api查詢接口：
app調(diào)用：http://api.test.com/getproducts?參數(shù)1=value1…….
如上，這種方式簡(jiǎn)單粗暴，通過(guò)調(diào)用getproducts方法即可獲取產(chǎn)品列表信息了，但是 這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題，沒(méi)有進(jìn)行任何的驗(yàn)證，大家都可以通過(guò)這個(gè)方法獲取到產(chǎn)品列表，導(dǎo)致產(chǎn)品信息泄露。
那么，如何驗(yàn)證調(diào)用者身份呢？如何防止參數(shù)被篡改呢？

二.MD5參數(shù)簽名的方式

我們對(duì)api查詢產(chǎn)品接口進(jìn)行優(yōu)化：
1.給app分配對(duì)應(yīng)的key、secret(調(diào)用接口的人在在調(diào)用的時(shí)候就直接把key傳過(guò)去，但是secret是不能夠傳遞的，但是需要把key放在我們簽名中加密,然后在后端，我們接到key之后，就去數(shù)據(jù)庫(kù)中查詢對(duì)應(yīng)的secrect,然后再按照之前的簽名算法去生成簽名與傳過(guò)來(lái)的
簽名進(jìn)行對(duì)比);
2.Sign簽名，調(diào)用API 時(shí)需要對(duì)請(qǐng)求參數(shù)進(jìn)行簽名驗(yàn)證，簽名方式如下：
a. 按照請(qǐng)求參數(shù)名稱將所有請(qǐng)求參數(shù)按照字母先后順序排序得到：keyvaluekeyvalue…keyvalue 字符串如：將arong=1,mrong=2,crong=3 排序?yàn)?#xff1a;arong=1, crong=3,mrong=2 然后將參數(shù)名和參數(shù)值進(jìn)行拼接得到參數(shù)字符串：arong1crong3mrong2。
b. 將secret加在參數(shù)字符串的頭部后進(jìn)行MD5加密 ,加密后的字符串需大寫(xiě)。即得到簽名Sign

新api接口代碼:
app調(diào)用：
http://api.test.com/getproductskey=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數(shù)1=value1&參數(shù)2=value2…….
注：secret 僅作加密使用, 為了保證數(shù)據(jù)安全請(qǐng)不要在請(qǐng)求參數(shù)中使用。

sign生成的PHP函數(shù)：

public static function sign($appSecret, $params) {if (!is_array($params)) $params = array();ksort($params);$text = '';foreach ($params as $k => $v) {$text .= $k . $v;}return md5($appSecret . $text); }

如上，優(yōu)化后的請(qǐng)求多了key和sign參數(shù)，這樣請(qǐng)求的時(shí)候就需要合法的key和正確簽名sign才可以獲取產(chǎn)品數(shù)據(jù)。這樣就解決了身份驗(yàn)證和防止參數(shù)篡改問(wèn)題，如果請(qǐng)求參數(shù)被人拿走，沒(méi)事，他們永遠(yuǎn)也拿不到secret,因?yàn)閟ecret是不傳遞的。再也無(wú)法偽造合法的請(qǐng)求。

但是…這樣就夠了嗎？細(xì)心的同學(xué)可能會(huì)發(fā)現(xiàn)，如果我獲取了你完整的鏈接，一直使用你的key和sign和一樣的參數(shù)不就可以正常獲取數(shù)據(jù)了…-_-!是的，僅僅是如上的優(yōu)化是不夠的

三.請(qǐng)求的唯一性：

為了防止別人重復(fù)使用請(qǐng)求參數(shù)問(wèn)題，我們需要保證請(qǐng)求的唯一性，就是對(duì)應(yīng)請(qǐng)求只能使用一次，這樣就算別人拿走了請(qǐng)求的完整鏈接也是無(wú)效的。
唯一性的實(shí)現(xiàn)：在如上的請(qǐng)求參數(shù)中，我們加入時(shí)間戳:timestamp（yyyyMMddHHmmss），同樣，時(shí)間戳作為請(qǐng)求參數(shù)之一，也加入sign算法中進(jìn)行加密。

新的api接口：
app調(diào)用：
http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&timestamp=201603261407&參數(shù)1=value1&參數(shù)2=value2…….
如上，我們通過(guò)timestamp時(shí)間戳用來(lái)驗(yàn)證請(qǐng)求是否過(guò)期。這樣就算被人拿走完整的請(qǐng)求鏈接也是無(wú)效的。
Sign簽名安全性分析：
通過(guò)上面的案例，我們可以看出，安全的關(guān)鍵在于參與簽名的secret，整個(gè)過(guò)程中secret是不參與通信的，所以只要保證secret不泄露，請(qǐng)求就不會(huì)被偽造。

總結(jié)
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造，保障通信的安全，這里使用的是MD5進(jìn)行加密，當(dāng)然實(shí)際使用中大家可以根據(jù)實(shí)際需求進(jìn)行自定義簽名算法，比如：RSA，SHA等。

整體思路：
簽名基本原理是通過(guò) key/secret 的實(shí)現(xiàn)：
1.服務(wù)器負(fù)責(zé)為每個(gè)客戶端生成一對(duì) key/secret （ key/secret 沒(méi)有任何關(guān)系，不能相互推算），保存，并告知客戶端。
2.當(dāng)客戶端調(diào)用 api 時(shí)，根據(jù)某種規(guī)則將所有請(qǐng)求參數(shù)串聯(lián)起來(lái)并用 secret 生成簽名 sign 。
3.將 sign 和 key 一起放進(jìn)請(qǐng)求參數(shù)對(duì)服務(wù)器進(jìn)行調(diào)用。（注意 secret 不要傳）
4.服務(wù)端收到請(qǐng)求，根據(jù) key 去查 secret ，然后用同樣的算法，驗(yàn)證簽名。
5.為避免重放攻擊，可加上 timestamp 參數(shù)，指明客戶端調(diào)用的時(shí)間。服務(wù)端在驗(yàn)證請(qǐng)求時(shí)若 timestamp 超過(guò)允許誤差則直接返回錯(cuò)誤。

以上，即使第三方知道了你的算法，key 等信息，由于無(wú)法捕獲到 secret ，也無(wú)法推算，因此是安全的。最好是把 api 布署成 https 的。

參考連接:
http://www.cnblogs.com/codelir/p/5327462.html
http://www.jianshu.com/p/d47da77b6419

總結(jié)

以上是生活随笔為你收集整理的API接口签名验证的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。