API开发之接口安全(三)—-sign有效时间
- 2019 年 10 月 3 日
- 筆記
之前生成的sign和校验sign我们已经完全掌握了、但是仅仅凭借这样的sign是无法满足我们的需求的,如果一个黑客通过抓包抓到你的数据 他可以去修改你的header为这样的 body为那样的 也是可以通过sign校验的 那么我们怎么解决呢 下面将详细的 为大家解说
首先想到这样的一个问题 我么首先应当考虑到的就是sign的时效性问题 如果 我们的sign只有十秒的时间 那就算抓包 他也只能在这十秒里使用 那么有了这个想法之后 我们是否应当在 生成sign之前加入 time参数呢 这个time具体怎么加入呢?
我们先建立一个 Time 类 来生成我们sign所需要的time
<?php /** * Created by PhpStorm. * User: Administrator * Date: 2019/8/16 * Time: 10:20 */ namespace appcommonlib; /*** * 生成以时间戳拼接的13位字符串 * Class Time * @package appcommonlib */ class Time { public static function get13TimeStamp(){ list($t1, $t2) = explode(' ', microtime()); ##*1000增加唯一性 避免重复 return $t2 . ceil($t1*1000); } }
创建好我们时间生成类之后 我们需要在 生成sign的时候加入 time 参数
'time' => Time::get13TimeStamp(),
然后生成sign
IAuth::setSign($data)
生成之后 我们就会获得到 加入 time 参数之后 返回的 sign了
下来我们拿到这个sign之后进行校验
我们需要修改下我们的校验方法 checkSignPass 使time参数参与进来
新增判断
##乘除1000增加唯一性 if((time() - ceil($arr['time']/1000)) > config('app.app_sign_time')){ return false; }
其中 config(“app.app_sign_time”) 是我在配置文件中配置的
return [ 'aeskey' => 'asdasd4wq5646', #AES秘钥 服务端必须和客户端保持一致 'method' => 'AES-128-ECB', 'iv' => '', 'options' => '0', 'app_types' => [ 'ios', 'android', ], 'app_sign_time' => 60, ];
这样 我们就成功的将时间加入到了 sign 中 但是 这样的话 还是不能保证我们数据的 安全性 我们需要进一步的 是sign有更高一级的安全性(唯一性)才行 那么怎么做呢 下章我们继续解刨sign
