大家好,我是码农先森。

回想起以前用模版渲染数据的岁月,那时都没有 API 接口开发的概念。PHP 服务端和前端 HTML、CSS、JS 代码混合式开发,也不分前端、后端程序员,大家都是全干工程师。随着前后端分离、移动端开发的兴起,用后端渲染数据的开发方式效率低下,已经不能满足业务对需求快速上线的要求了。于是为了前后端的高效协同开发引入了 API 接口,只要在开发需求之前约定好数据传参,之后便可以开始启动自己的开发任务且互不干涉,最后再进行统一的接口联调。

根据熵增原则,如果任何事情不加以规则来限制,则都会朝着泛滥的方式发展。同样 API 接口开发也会出现这样的情况,由于每个人的开发习惯不同,导致 API 接口的开发格式五花八门,联调过程困难重重。无规矩不成方圆,因此为了规范 API 接口开发的形式,同时也结合我平时的项目开发经验。总结了一些 API 接口开发的实践经验,希望对大家能有所帮助。

话不多说,开整!

这次主要的实践内容是 API 接口签名设计,以下是一些关键的步骤:

  • 给前端分配一个 AppKey,这个 AppKey 需要带在 HTTP Header 头中进行传输。
  • 在前端的传参中需要额外增加 时间戳 timestamp、随机字符串 nonce 参数。
  • 将前端的所有参数排序后拼接成一个字符串,再使用 MD5 加密函数生成 sign 签名字符串。
  • 服务端接收到参数后,先验证 AppKey 是否一致。
  • 再验证前端所传的时间戳参数是否还在有效期。
  • 之后在服务端使用同样的加密算法生成 sign 签名串,再与前端的 sign 签名串比对。
  • 最后判断前端所传的随机字符串是否已被使用,一次请求有效。

接下来开始在 ThinkPHP 和 Gin 框架中进行实现,文中只展示了核心的代码,完整代码的获取方式放在了文章末尾。

我们先熟悉一下项目结构核心的目录,有助于理解文中的内容。一个正常的请求首先要经过路由 route 再到中间件 middleware 最后到控制器 controller,API 接口的签名验证是在中间件 middleware 中实现,作为一个中间层在整个请求链路中起着承上启下的重要作用。

[manongsen@root php_to_go]$ tree -L 2
.
├── go_sign
│ ├── app
│ │ ├── controller
│ │ │ └── user.go
│ │ ├── middleware
│ │ │ └── api_sign.go
│ │ ├── config.go
│ │ └── route.go
│ ├── go.mod
│ ├── go.sum
│ └── main.go
└── php_sign
│ ├── app
│ │ ├── controller
│ │ │ └── User.php
│ │ ├── middleware
│ │ │ └── ApiSign.php
│ │ └── middleware.php
│ ├── composer.json
│ ├── composer.lock
│ ├── config
│ ├── route
│ │ └── app.php
│ ├── think
│ ├── vendor
│ └── .env

ThinkPHP

使用 composer 创建基于 ThinkPHP 框架的 php_sign 项目。

[manongsen@root ~]$ pwd
/home/manongsen/workspace/php_to_go/php_sign
[manongsen@root php_sign]$ composer create-project topthink/think php_sign

随机字符串需要用到 Redis 进行存储,所以这里需要安装 Redis 扩展包,便于操作 Redis。

[manongsen@root php_sign]$ composer require predis/predis

在项目 php_sign 下创建 ApiSign 中间件。

[manongsen@root php_sign]$ php think make:middleware ApiSign
Middleware:app\middleware\ApiSign created successfully.

在项目 php_sign 下复制一个 env 配置文件,并且定义好 AppKey。

[manongsen@root php_sign]$ cp .example.env .env

API 接口签名的验证是放在框架的中间件中进行实现的,其中时间戳的有效时间设置的是 2 秒,有些朋友会有疑惑为什么是 2 秒?3 秒、5 秒不行吗?这里的有效时间是基于网络通信的延时考虑的,根据普遍情况延时大概是 2 秒。如果你的服务延时比较长,也可以设置长一些,并没有一个定量的值,话说到这里也提醒一下如果你的接口延时超过 2 秒,大概率需要优化一下代码了。此外,还有一个随机字符串参数,这个参数的目的是为了防止接口被重放,如果做过爬虫的朋友可能对这个会深有感触,这也是防范爬虫的一种手段。

<?php
declare (strict_types = 1); namespace app\middleware; use think\facade\Env;
use think\facade\Cache; class ApiSign
{
/**
* 处理请求
*
* @param \think\Request $request
* @param \Closure $next
* @return Response
*/
public function handle($request, \Closure $next)
{
/*********************** 验证AppKey参数 ******************/
$headers = $request->header();
if (!isset($headers["app-key"])) {
return json(["code" => 400, "msg" => "秘钥参数缺失"]);
}
$reqAppKey = $headers["app-key"];
$vfyAppKey = Env::get("APP_KEY");
if ($reqAppKey != $vfyAppKey) {
return json(["code" => 400, "msg" => "签名秘钥无效"]);
} /*********************** 验证时间戳参数 *******************/
$params = $request->param();
if (!isset($params["timestamp"])) {
return json(["code" => 400, "msg" => "时间参数缺失"]);
}
$timestamp = $params["timestamp"];
$nowTime = time();
if (($nowTime-$timestamp) > 2) {
return json(["code" => 400, "msg" => "时间参数过期"]);
} /*********************** 验证签名串参数 *******************/
if (!isset($params["sign"])) {
return json(["code" => 400, "msg" => "签名参数缺失"]);
}
$reqSign = $params["sign"];
unset($params["sign"]);
// 将参数进行排序
ksort($params);
$paramStr = http_build_query($params);
// md5 加密处理
$vfySign = md5($paramStr . "&app_key={$vfyAppKey}");
// 比较签名参数
if ($reqSign != $vfySign) {
return json(["code" => 400, "msg" => "签名验证失败"]);
} /*********************** 验证随机串参数 *******************/
if (!isset($params["nonce_str"])) {
return json(["code" => 400, "msg" => "随机串参数缺失"]);
}
$nonceStr = $params["nonce_str"]; // 判断 nonce_str 随机字符串是否被使用
$redis = Cache::store('redis')->handler();
$flag = $redis->exists($nonceStr);
if ($flag) {
return json(["code" => 400, "msg" => "随机串参数无效"]);
} // 存储 nonce_str 随机字符串
$redis->set($nonceStr, $timestamp, 2);
return $next($request);
}
}

启动 php_sign 服务。

[manongsen@root php_sign]$ php think run
ThinkPHP Development server is started On <http://0.0.0.0:8000/>
You can exit with `CTRL-C`
Document root is: /home/manongsen/workspace/php_to_go/php_sign/public
[Wed Jul 3 22:02:16 2024] PHP 8.3.4 Development Server (http://0.0.0.0:8000) started

使用 Postman 工具进行测试验证,通过构造正确的参数,便可以成功的返回数据。

Gin

通过 go mod 初始化 go_sign 项目。

[manongsen@root ~]$ pwd
/home/manongsen/workspace/php_to_go/go_sign
[manongsen@root go_sign]$ go mod init go_sign

安装 Gin 框架库,这里与 ThinkPHP 不一样的是 Gin 框架是以第三库的形式在 gin_sign 项目中进行引用的。

[manongsen@root go_sign]$ go get github.com/gin-gonic/gin

安装 Redis 操作库,与在 ThinkPHP 框架中一样也要使用到 Redis。

[manongsen@root go_sign]$ go get github.com/go-redis/redis

这是在 Gin 框架中利用中间件来进行 API 接口签名验证,从代码量上来看就比 PHP 要多了。其中还需要自行合并 GET 和 POST 参数,方便在中间件中统一进行签名处理。对参数的拼接也没有类似 http_build_query 的方法,总体上来说在 Go 中进行签名验证需要繁琐不少。

package middleware

import (
"bytes"
"crypto/md5"
"encoding/json"
"fmt"
"go_sign/app"
"io/ioutil"
"net/http"
"sort"
"strconv"
"strings"
"time" "github.com/gin-gonic/gin"
) func ApiSign() gin.HandlerFunc {
return func(c *gin.Context) {
/*************************** 验证AppKey参数 **************************/
reqAppKey := c.Request.Header.Get("app-key")
if len(reqAppKey) == 0 {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "秘钥参数缺失"})
c.Abort()
return
}
vfyAppKey := app.APP_KEY
if reqAppKey != vfyAppKey {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "秘钥参数无效"})
c.Abort()
return
} // 获取请求参数
params := mergeParams(c) /*************************** 验证时间戳参数 **************************/
if _, ok := params["timestamp"]; !ok {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "时间参数无效"})
c.Abort()
return
}
timestampStr := fmt.Sprintf("%v", params["timestamp"]) timestampInt, err := strconv.ParseInt(timestampStr, 0, 64)
if err != nil {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "时间参数无效"})
c.Abort()
return
} nowTime := time.Now().Unix()
if nowTime-timestampInt > 2 {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "时间参数过期"})
c.Abort()
return
} /*************************** 验证签名串参数 **************************/
if _, ok := params["sign"]; !ok {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "签名参数无效"})
c.Abort()
return
}
reqSign := fmt.Sprintf("%v", params["sign"]) // 针对 dataMap 进行排序
dataMap := params
keys := make([]string, len(dataMap))
i := 0
for k := range dataMap {
keys[i] = k
i++
}
sort.Strings(keys)
var buf bytes.Buffer
for _, k := range keys {
if k != "sign" && !strings.HasPrefix(k, "reserved") {
buf.WriteString(k)
buf.WriteString("=")
buf.WriteString(fmt.Sprintf("%v", dataMap[k]))
buf.WriteString("&")
}
}
bufStr := buf.String()
dataStr := bufStr + "app_key=" + app.APP_KEY // 进行 md5 加密处理
data := []byte(dataStr)
has := md5.Sum(data)
vfySign := fmt.Sprintf("%x", has) // 将[]byte转成16进制
if reqSign != vfySign {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "签名验证失败"})
c.Abort()
return
} /*************************** 验证随机串参数 **************************/
if _, ok := params["nonce_str"]; !ok {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "随机串参数缺失"})
c.Abort()
return
}
nonceStr := fmt.Sprintf("%v", params["nonce_str"]) // 判断是否存在 nonce_str 随机字符串
flag, _ := app.RedisConn.Exists(nonceStr).Result()
if flag > 0 {
c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "随机串参数无效"})
c.Abort()
return
} // 存储nonce_str随机字符串
app.RedisConn.Set(nonceStr, timestampInt, time.Second*2).Result() c.Next()
}
} // 将 GET 和 POST 的参数合并到同一 Map
func mergeParams(c *gin.Context) map[string]interface{} {
var (
dataMap = make(map[string]interface{})
queryMap = make(map[string]interface{})
postMap = make(map[string]interface{})
) contentType := c.ContentType()
for k := range c.Request.URL.Query() {
queryMap[k] = c.Query(k)
} if contentType == "application/json" {
if c.Request != nil && c.Request.Body != nil {
bodyBytes, _ := ioutil.ReadAll(c.Request.Body)
if len(bodyBytes) > 0 {
if err := json.NewDecoder(bytes.NewBuffer(bodyBytes)).Decode(&postMap); err != nil {
return nil
}
c.Request.Body = ioutil.NopCloser(bytes.NewBuffer(bodyBytes))
}
}
} else if contentType == "multipart/form-data" {
for k, v := range c.Request.PostForm {
if len(v) > 1 {
postMap[k] = v
} else if len(v) == 1 {
postMap[k] = v[0]
}
}
} else {
for k, v := range c.Request.PostForm {
if len(v) > 1 {
postMap[k] = v
} else if len(v) == 1 {
postMap[k] = v[0]
}
}
} // 优先级:以post优先级最高,会覆盖get参数
for k, v := range queryMap {
dataMap[k] = v
}
for k, v := range postMap {
dataMap[k] = v
} return dataMap
}

启动 gin_sin 服务。

[manongsen@root go_sign]$ go run main.go
[GIN-debug] [WARNING] Creating an Engine instance with the Logger and Recovery middleware already attached. [GIN-debug] [WARNING] Running in "debug" mode. Switch to "release" mode in production.
- using env: export GIN_MODE=release
- using code: gin.SetMode(gin.ReleaseMode) [GIN-debug] GET /user/info --> go_sign/app/controller.UserInfo (4 handlers)
[GIN-debug] [WARNING] You trusted all proxies, this is NOT safe. We recommend you to set a value.
Please check https://pkg.go.dev/github.com/gin-gonic/gin#readme-don-t-trust-all-proxies for details.
[GIN-debug] Listening and serving HTTP on :8001

同样也使用 Postman 工具进行测试验证,通过构造正确的参数,便可以成功的返回数据。

结语

数据安全一直是个热门的话题,API 接口在数据的传输上扮演着至关重要的角色。为了 API 接口的安全性、健壮性,完整性,往往需要将网络上的数据进行签名加密传输。同时为了防止 API 接口被重放爬虫伪造等类似恶意攻击的手段,还要在接口设计时增加有效时间、随机字符串、签名串等参数,来保障数据的安全性。这一次的 API 接口签名设计实践,大家也可以手动尝试实验一下,希望对大家的日常工作能有所帮助。最后感兴趣的朋友可以在微信公众号内回复「4867」获取完整的实践代码。


欢迎关注、分享、点赞、收藏、在看,我是微信公众号「码农先森」作者。

PHP转Go系列 | ThinkPHP与Gin框架之API接口签名设计实践的更多相关文章

  1. Http下的各种操作类.WebApi系列~通过HttpClient来调用Web Api接口

    1.WebApi系列~通过HttpClient来调用Web Api接口 http://www.cnblogs.com/lori/p/4045413.html HttpClient使用详解(java版本 ...

  2. PHP: thinkPHP踩坑记录(实现API接口以及处理莫名其妙的500问题)

    因为各种原因开始学习PHP,并且要在两周内能够对PHP项目进行二次开发,还好PHP够简单,至少入门很简单,很快就接触thinkPHP框架. 在了解了路由匹配视图的规则之后,开始着手尝试编写API接口, ...

  3. 如何给框架添加API接口日志

    前言 用的公司的框架,是MVC框架,看了下里面的日志基类,是操作日志,对增删改进行记录, 夸张的是一张业务的数据表 需要一张专门的日志表进行记录, 就是说你写个更新,添加的方法都必须写一遍操作日志,代 ...

  4. android框架Java API接口总注释/**@hide*/和internal API

    Android有两种类型的API是不能经由SDK访问的 l 第一种是位于com.android.internal包中的API我,位于frameworks/base/core/java/com/andr ...

  5. WebApi系列~通过HttpClient来调用Web Api接口

    回到目录 HttpClient是一个被封装好的类,主要用于Http的通讯,它在.net,java,oc中都有被实现,当然,我只会.net,所以,只讲.net中的HttpClient去调用Web Api ...

  6. WebApi系列~通过HttpClient来调用Web Api接口~续~实体参数的传递

    回到目录 上一讲中介绍了使用HttpClient如何去调用一个标准的Web Api接口,并且我们知道了Post,Put方法只能有一个FromBody参数,再有多个参数时,上讲提到,需要将它封装成一个对 ...

  7. WebApi系列~通过HttpClient来调用Web Api接口~续~实体参数的传递 【转】

    原文:http://www.cnblogs.com/lori/p/4045633.html 下面定义一个复杂类型对象 public class User_Info { public int Id { ...

  8. soapUI系列之—-07 调用JIRA Rest API接口【例】

    一.调用JIRA接口------实现过滤器搜索问题 1. 在SoapUI中新建 REST Project, 在URI 中输入登录接口的 url (任意一个 Rest 接口的 url 都可以): 2. ...

  9. Gin 框架 - 安装和路由配置

    目录 概述 Gin 安装 路由配置 推荐阅读 概述 看下 Gin 框架的官方介绍: Gin 是一个用 Go (Golang) 编写的 web 框架. 它是一个类似于 martini 但拥有更好性能的 ...

  10. [系列] Gin框架 - 数据绑定和验证

    目录 概述 推荐阅读 概述 上篇文章分享了 Gin 框架使用 Logrus 进行日志记录,这篇文章分享 Gin 框架的数据绑定与验证. 有读者咨询我一个问题,如何让框架的运行日志不输出控制台? 解决方 ...

随机推荐

  1. vben集成keycloak

    前言 公司的项目是vben admin框架需要集成keycloak,那keycloak大家应该都不陌生了,就是统一认证的一个系统简称IDS.之前用过cas,并重构过cas的前端界面,所以对此也是比较熟 ...

  2. arcmap利用合并工具修改字段名称、类型、顺序

  3. 使用DP-Modeler、ModelFun模方软件修复实景三维模型教程

    P-Modeler   DP-Modeler是武汉天际航自主研发的一款集精细化单体建模与Mesh网格模型修饰于一体的软件.支持三维模型一键水面修复.道路置平.建筑局部修饰.删除底部碎片.植被处理.桥隧 ...

  4. java启动参考

    启动参数 mvn clean package -Dmaven.test.skip=true -Ptest - java - -server - -Xms2G - -Xmx2G - -Xss256K - ...

  5. 编译mmdetection3d时,无root权限下为虚拟环境单独创建CUDA版本

    在跑一些深度学习代码的时候,如果需要使用mmdetection3d框架,下载的pytorch的cudatoolkit最好需要和本机的cuda版本是一样的,即输入nvcc -V命令后显示的版本一样. 但 ...

  6. WPF 设置第二次打开程序直接弹出第一次打开的程序

    激活已经打开窗口函数[DllImport("user32.dll")]private static extern bool SetForegroundWindow(IntPtr h ...

  7. Dubbo实战教程

    "Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案." ...

  8. Mp4V2与ffmpeg静态库符号冲突问题解决

    一.为什么静态符号会冲突 无论macho二进制类型,还是Windows上的PE格式,还是Linux上的ELF格式,里面都是按照特定格式存放的一个程序的代码和数据 比如Linux下的可执行文件格式,大致 ...

  9. js 检测文本是否溢出

    自定义指令的方式 手写实现 /** * 检测文本是否溢出 * 参考 https://github.com/ElemeFE/element/blob/dev/packages/table/src/tab ...

  10. 安装配置intelli IDEA

    效果 操作 去官网下载安装包 下载 Intelli IDEA 下载插件 插件下载 打开IDEA安装目录下的bin目录,找到idea64.exe.vmoptions配置文件 添加配置 打开indea,添 ...