当前位置：首页 > news >正文

API常用签名验证方法(PHP实现)

news 2026/3/30 16:05:10

使用场景

现在越来越多的项目使用的前后端分离的模式进行开发，后端开发人员使用API接口传递数据给到前端开发进行处理展示，在一些比较重要的修改数据接口，涉及金钱，用户信息等修改的接口如果不做防护验证，经常容易被人恶意刷接口，导致巨大的损失。

API签名验证

这里我们引入业内比较通用的签名验证来对接口进行参数加密，有以下优势。

请求的唯一性：计算出的签名是唯一的，可以用来验证。
参数的可变性：参数中包含时间戳参数，这就保证每次的请求计算出得签名都是不一样的。
请求的时效：由于请求中带有当前发起请求的时间戳参数，服务端可以对时间戳进行验证，过滤超出时效的请求。
安全性：即使请求被人恶意抓包，对方恶意篡改其中的参数，那么签名都是错误的，参数无法修改。

实践出真理

1. 对map类型（即一组键值对）的待签名数据根据键的大小进行排序。map中各参数按字母顺序排序,如果第一个字母相同,按第二个字母排序,依次类推。例如

{"timestamp": "2017-06-08 09:38:00","format": "xml","app_id": "aabbc","cp_extend_info": "","sign_type": "HMAC-SHA1","sign": "abc"
}

那么，排序后变成

{"app_id": "aabbc","cp_extend_info": "","format": "xml","sign_type": "HMAC-SHA1","timestamp": "2017-06-08 09:38:00"
}

注意：如果map中包含签名的参数(sign)需要过滤该参数的键值不参与签名，没有值的参数请不要参与签名

2. 对排序后的map进行序列化处理成待签名字符串，拼接后的待签名字符串为

1	`app_id=aabbc&format=xml&sign_type=HMAC-SHA1&timestamp=2017-06-08 09:38:00`

3. 根据HMAC-SHA1算法使用密钥提取待签名字符串的摘要（hash）签名并进行base64_encode编码（便于显性传输和对比），假设签名密钥为 test ，则提取出的摘要签名并进行base64_encode的值为

1	`JqoEqPIVVor0eyRHMYiZftsycVo=`

注意：由于有些数据根据HTTP协议需求,在网络传输过程中需要进行URLencoding,这样接收方才可以接收到正确的参数,但如果这个参数参与签名,那么待签名字符串必须是字符串原值而非URLencoding 的值。

代码实践

PHP示例

/*** 使用密钥生成HMAC-Sha1签名* @param array $params 请求参数* @param string $signKey 签名密钥* @return string*/
function hmacSha1Sign($params,$signKey)
{ksort($params);$paramString = '';foreach ($params as $key => $value) {if (is_null($value) || $value=='' || $key == 'sign') {continue;}$paramString .= $key.'='.$value.'&';}$paramString = substr($paramString,0,-1);$sign = base64_encode(hash_hmac("sha1", $paramString, $signKey, $raw_output=TRUE));return $sign;
}

以上就是日常开发中常用的API验证签名方式，很简单又非常使用，欢迎关注获取更多的教程。

API常用签名验证方法(PHP实现)

使用场景

API签名验证

实践出真理

相关文章：

API常用签名验证方法(PHP实现)

kotlin高阶函数

kotlin list集合树

基于Autoencoder自编码的64QAM星座图整形调制解调通信系统性能matlab仿真

【Spring】Spring 总览

微软、OpenAI用上“数据永动机” 合成数据是晨曦还是暮光？

简单认识Redis 数据库的高可用

超级实用！，掌握这9个鲜为人知的CSS属性

深圳国际新能源及智能网联汽车全产业博览会今年10月举办

【具有非线性反馈的LTI系统识别】针对反馈非线性的LTI系统，提供非线性辨识方案（SimulinkMatlab代码实现）

Stable diffusion 和 Midjourney 怎么选？

c++网络编程

【沁恒蓝牙mesh】数据收发接口与应用层模型传递

Java类关系之代理(代理模式)

java: 无法访问redis.clients.jedis.JedisPoolConfig

基于java中学教务管理系统设计与实现

vscode设置java -Xmx最大堆内存

组件开发系列--Apache Commons Chain

60 # http 的基本概念

云计算迎来中场战役，MaaS或将成为弯道超车“新赛点”

为什么大厂都不用 Apache 了？Nginx 反向代理才是微服务入口

BilibiliDown完整指南：三步掌握B站视频批量下载技巧

元素偏析系数计算：从概念到实际应用

避坑指南：OpenClaw连接Qwen3-32B镜像的5大常见错误

从一次数据精度丢失的坑说起：详解Pandas fillna的‘静默下转型’与infer_objects的正确用法

uniapp动画开发避坑指南：为什么你的json动画在真机上不显示？

避坑指南：单相有源逆变电路Simulink仿真中那些教科书没讲的细节（附反电动势设置模板）

SMT贴片机核心构造与PCB组装效率提升全解析

TypeScript迁移工具ts-migrate版本兼容性终极指南：如何确保JavaScript到TypeScript平滑升级

Anything to RealCharacters 2.5D转真人引擎：AI艺术展数字作品写实化呈现