目錄

• 概覽
• 常用驗(yàn)證
• 單向散列加密
• 對(duì)稱加密
• 非對(duì)稱加密
• 密鑰安全管理
• 接口調(diào)試工具
• 在線接口文檔
• 擴(kuò)展
• 小結(jié)

概覽

在設(shè)計(jì)簽名驗(yàn)證的時(shí)候，一定要滿足以下幾點(diǎn)：

• 可變性：每次的簽名必須是不一樣的。
• 時(shí)效性：每次請(qǐng)求的時(shí)效性，過期作廢。
• 唯一性：每次的簽名是唯一的。
• 完整性：能夠?qū)魅霐?shù)據(jù)進(jìn)行驗(yàn)證，防止篡改。

下面主要分享一些工作中常用的加解密的方法。

常用驗(yàn)證

舉例：/api/login?username=xxx&password=xxx&sign=xxx

發(fā)送方和接收方約定一個(gè)加密的鹽值，進(jìn)行生成簽名。

示例代碼：

//創(chuàng)建簽名
private function _createSign()
{
    $strSalt = '1scv6zfzSR1wLaWN';
    $strVal  = '';
    if ($this->params) {
        $params = $this->params;
        ksort($params);
        $strVal = http_build_query($params, '', '&', PHP_QUERY_RFC3986);
    }
    return md5(md5($strSalt).md5($strVal));
}

//驗(yàn)證簽名
if ($_GET['sign'] != $this->_createSign()) {
    echo 'Invalid Sign.';
}

上面使用到了 MD5 方法，MD5 屬于單向散列加密。

單向散列加密

定義

把任意長(zhǎng)的輸入串變化成固定長(zhǎng)的輸出串，并且由輸出串難以得到輸入串，這種方法稱為單項(xiàng)散列加密。

常用算法

• MD5
• SHA
• MAC
• CRC

優(yōu)點(diǎn)

以 MD5 為例。

• 方便存儲(chǔ)：加密后都是固定大?。?2位）的字符串，能夠分配固定大小的空間存儲(chǔ)。
• 損耗低：加密/加密對(duì)于性能的損耗微乎其微。
• 文件加密：只需要32位字符串就能對(duì)一個(gè)巨大的文件驗(yàn)證其完整性。
• 不可逆：大多數(shù)的情況下不可逆，具有良好的安全性。

缺點(diǎn)

存在暴力破解的可能性，最好通過加鹽值的方式提高安全性。

應(yīng)用場(chǎng)景

用于敏感數(shù)據(jù)，比如用戶密碼，請(qǐng)求參數(shù)，文件加密等。

推薦密碼的存儲(chǔ)方式

password_hash()使用足夠強(qiáng)度的單向散列算法創(chuàng)建密碼的哈希（hash）。

示例代碼：

//密碼加密
$password = '123456';
$strPwdHash = password_hash($password, PASSWORD_DEFAULT);

//密碼驗(yàn)證
if (password_verify($password, $strPwdHash)) {
  //Success
} else {
  //Fail
}

PHP 手冊(cè)地址：

http://php.net/manual/zh/function.password-hash.php

對(duì)稱加密

定義

同一個(gè)密鑰可以同時(shí)用作數(shù)據(jù)的加密和解密，這種方法稱為對(duì)稱加密。

常用算法

• DES
• AES

AES 是 DES 的升級(jí)版，密鑰長(zhǎng)度更長(zhǎng)，選擇更多，也更靈活，安全性更高，速度更快。

優(yōu)點(diǎn)

算法公開、計(jì)算量小、加密速度快、加密效率高。

缺點(diǎn)

發(fā)送方和接收方必須商定好密鑰，然后使雙方都能保存好密鑰，密鑰管理成為雙方的負(fù)擔(dān)。

應(yīng)用場(chǎng)景

相對(duì)大一點(diǎn)的數(shù)據(jù)量或關(guān)鍵數(shù)據(jù)的加密。

AES

AES 加密類庫(kù)在網(wǎng)上很容易找得到，請(qǐng)注意類庫(kù)中的mcrypt_encrypt和mcrypt_decrypt方法！

在 PHP7.2 版本中已經(jīng)被棄用了，在新版本中使用openssl_encrypt和openssl_decrypt兩個(gè)方法。

示例代碼（類庫(kù)）：

class Aes
{
    /**
     * var string $method 加解密方法
     */
    protected $method;

    /**
     * var string $secret_key 加解密的密鑰
     */
    protected $secret_key;

    /**
     * var string $iv 加解密的向量
     */
    protected $iv;

    /**
     * var int $options
     */
    protected $options;

    /**
     * 構(gòu)造函數(shù)
     * @param string $key     密鑰
     * @param string $method  加密方式
     * @param string $iv      向量
     * @param int    $options
     */
    public function __construct($key = '', $method = 'AES-128-CBC', $iv = '', $options = OPENSSL_RAW_DATA)
    {
        $this->secret_key = isset($key) ? $key : 'CWq3g0hgl7Ao2OKI';
        $this->method = in_array($method, openssl_get_cipher_methods()) ? $method : 'AES-128-CBC';
        $this->iv = $iv;
        $this->options = in_array($options, [OPENSSL_RAW_DATA, OPENSSL_ZERO_PADDING]) ? $options : OPENSSL_RAW_DATA;
    }

    /**
     * 加密
     * @param string $data 加密的數(shù)據(jù)
     * @return string
     */
    public function encrypt($data = '')
    {
        return base64_encode(openssl_encrypt($data, $this->method, $this->secret_key, $this->options, $this->iv));
    }

    /**
     * 解密
     * @param string $data 解密的數(shù)據(jù)
     * @return string
     */
    public function decrypt($data = '')
    {
        return openssl_decrypt(base64_decode($data), $this->method, $this->secret_key, $this->options, $this->iv);
    }
}

示例代碼：

$aes = new Aes('HFu8Z5SjAT7CudQc');
$encrypted = $aes->encrypt('鋤禾日當(dāng)午');
echo '加密前：鋤禾日當(dāng)午
加密后：', $encrypted, '
';

$decrypted = $aes->decrypt($encrypted);
echo '加密后：', $encrypted, '
解密后：', $decrypted;

運(yùn)行結(jié)果：

非對(duì)稱加密

定義

需要兩個(gè)密鑰來進(jìn)行加密和解密，這兩個(gè)秘鑰分別是公鑰（public key）和私鑰（private key），這種方法稱為非對(duì)稱加密。

常用算法

RSA

優(yōu)點(diǎn)

與對(duì)稱加密相比，安全性更好，加解密需要不同的密鑰，公鑰和私鑰都可進(jìn)行相互的加解密。

缺點(diǎn)

加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢，只適合對(duì)少量數(shù)據(jù)進(jìn)行加密。

應(yīng)用場(chǎng)景

適合于對(duì)安全性要求很高的場(chǎng)景，適合加密少量數(shù)據(jù)，比如支付數(shù)據(jù)、登錄數(shù)據(jù)等。

RSA2 比 RSA 有更強(qiáng)的安全能力。

螞蟻金服，新浪微博 都在使用 RSA2 算法。

創(chuàng)建公鑰和私鑰：

openssl genrsa -out private_key.pem 2048

openssl rsa -in private_key.pem -pubout -out public_key.pem

執(zhí)行上面命令，會(huì)生成private_key.pem和public_key.pem兩個(gè)文件。

示例代碼（類庫(kù)）：

class Rsa2 
{
    private static $PRIVATE_KEY = 'private_key.pem 內(nèi)容';
    private static $PUBLIC_KEY  = 'public_key.pem 內(nèi)容';

    /**
     * 獲取私鑰
     * @return bool|resource
     */
    private static function getPrivateKey()
    {
        $privateKey = self::$PRIVATE_KEY;
        return openssl_pkey_get_private($privateKey);
    }

    /**
     * 獲取公鑰
     * @return bool|resource
     */
    private static function getPublicKey()
    {
        $publicKey = self::$PUBLIC_KEY;
        return openssl_pkey_get_public($publicKey);
    }

    /**
     * 私鑰加密
     * @param string $data
     * @return null|string
     */
    public static function privateEncrypt($data = '')
    {
        if (!is_string($data)) {
            return null;
        }
        return openssl_private_encrypt($data,$encrypted,self::getPrivateKey()) ? base64_encode($encrypted) : null;
    }

    /**
     * 公鑰加密
     * @param string $data
     * @return null|string
     */
    public static function publicEncrypt($data = '')
    {
        if (!is_string($data)) {
            return null;
        }
        return openssl_public_encrypt($data,$encrypted,self::getPublicKey()) ? base64_encode($encrypted) : null;
    }

    /**
     * 私鑰解密
     * @param string $encrypted
     * @return null
     */
    public static function privateDecrypt($encrypted = '')
    {
        if (!is_string($encrypted)) {
            return null;
        }
        return (openssl_private_decrypt(base64_decode($encrypted), $decrypted, self::getPrivateKey())) ? $decrypted : null;
    }

    /**
     * 公鑰解密
     * @param string $encrypted
     * @return null
     */
    public static function publicDecrypt($encrypted = '')
    {
        if (!is_string($encrypted)) {
            return null;
        }
        return (openssl_public_decrypt(base64_decode($encrypted), $decrypted, self::getPublicKey())) ? $decrypted : null;
    }

    /**
     * 創(chuàng)建簽名
     * @param string $data 數(shù)據(jù)
     * @return null|string
     */
    public function createSign($data = '')
    {
        if (!is_string($data)) {
            return null;
        }
        return openssl_sign($data, $sign, self::getPrivateKey(), OPENSSL_ALGO_SHA256) ? base64_encode($sign) : null;
    }

    /**
     * 驗(yàn)證簽名
     * @param string $data 數(shù)據(jù)
     * @param string $sign 簽名
     * @return bool
     */
    public function verifySign($data = '', $sign = '')
    {
        if (!is_string($sign) || !is_string($sign)) {
            return false;
        }
        return (bool)openssl_verify($data, base64_decode($sign), self::getPublicKey(), OPENSSL_ALGO_SHA256);
    }
}

示例代碼：

$rsa2 = new Rsa2();
        
$privateEncrypt = $rsa2->privateEncrypt('鋤禾日當(dāng)午');
echo '私鑰加密后:'.$privateEncrypt.'
';

$publicDecrypt = $rsa2->publicDecrypt($privateEncrypt);
echo '公鑰解密后:'.$publicDecrypt.'
';

$publicEncrypt = $rsa2->publicEncrypt('鋤禾日當(dāng)午');
echo '公鑰加密后:'.$publicEncrypt.'
';

$privateDecrypt = $rsa2->privateDecrypt($publicEncrypt);
echo '私鑰解密后:'.$privateDecrypt.'
';

$sign = $rsa2->createSign('鋤禾日當(dāng)午');
echo '生成簽名:'.$privateEncrypt.'
';

$status = $rsa2->verifySign('鋤禾日當(dāng)午', $sign);
echo '驗(yàn)證簽名:'.($status ? '成功' : '失敗') ;

運(yùn)行結(jié)果：

部分?jǐn)?shù)據(jù)截圖如下：

JS-RSA

JSEncrypt：用于執(zhí)行OpenSSL RSA加密、解密和密鑰生成的javascript庫(kù)。

Git源：https://github.com/travist/jsencrypt

應(yīng)用場(chǎng)景：

我們?cè)谧?WEB 的登錄功能時(shí)一般是通過 Form 提交或 Ajax 方式提交到服務(wù)器進(jìn)行驗(yàn)證的。

為了防止抓包，登錄密碼肯定要先進(jìn)行一次加密（RSA），再提交到服務(wù)器進(jìn)行驗(yàn)證。

一些大公司都在使用，比如淘寶、京東、新浪 等。

示例代碼就不提供了，Git上提供的代碼是非常完善的。

密鑰安全管理

這些加密技術(shù)，能夠達(dá)到安全加密效果的前提是密鑰的保密性。

實(shí)際工作中，不同環(huán)境的密鑰都應(yīng)該不同（開發(fā)環(huán)境、預(yù)發(fā)布環(huán)境、正式環(huán)境）。

那么，應(yīng)該如何安全保存密鑰呢？

環(huán)境變量

將密鑰設(shè)置到環(huán)境變量中，每次從環(huán)境變量中加載。

配置中心

將密鑰存放到配置中心，統(tǒng)一進(jìn)行管理。

密鑰過期策略

設(shè)置密鑰有效期，比如一個(gè)月進(jìn)行重置一次。

在這里希望大佬提供新的思路 ~

接口調(diào)試工具

Postman

一款功能強(qiáng)大的網(wǎng)頁(yè)調(diào)試與發(fā)送網(wǎng)頁(yè) HTTP 請(qǐng)求的 Chrome插件。

這個(gè)不用多介紹，大家肯定都使用過。

SocketLog

Git源：https://github.com/luofei614/SocketLog

解決的痛點(diǎn)：

• 正在運(yùn)行的API有Bug，不能在文件中使用var_dump進(jìn)行調(diào)試，因?yàn)闀?huì)影響到client的調(diào)用。將日志寫到文件中，查看也不是很方便。
• 我們?cè)诙伍_發(fā)一個(gè)新系統(tǒng)的時(shí)候，想查看執(zhí)行了哪些Sql語句及程序的warning，notice等錯(cuò)誤信息。

SocketLog，可以解決以上問題，它通過WebSocket將調(diào)試日志輸出到瀏覽器的console中。

使用方法

• 安裝、配置Chrome插件
• SocketLog服務(wù)端安裝
• PHP中用SocketLog調(diào)試
• 配置日志類型和相關(guān)參數(shù)

在線接口文檔

接口開發(fā)完畢，需要給請(qǐng)求方提供接口文檔，文檔的編寫現(xiàn)在大部分都使用Markdown格式。

也有一些開源的系統(tǒng)，可以下載并安裝到自己的服務(wù)器上。

也有一些在線的系統(tǒng)，可以在線使用同時(shí)也支持離線導(dǎo)出。

根據(jù)自己的情況，選擇適合自己的文檔平臺(tái)吧。

常用的接口文檔平臺(tái)：

• eolinker
• Apizza
• Yapi
• RAP2
• DOClever

擴(kuò)展

一、在 HTTP 和 RPC 的選擇上，可能會(huì)有一些疑問，RPC框架配置比較復(fù)雜，明明用HTTP能實(shí)現(xiàn)為什么要選擇RPC？

下面簡(jiǎn)單的介紹下 HTTP 與 RPC 的區(qū)別。

傳輸協(xié)議：

• HTTP 基于 HTTP 協(xié)議。
• RPC 即可以 HTTP 協(xié)議，也可以 TCP 協(xié)議。

HTTP 也是 RPC 實(shí)現(xiàn)的一種方式。

性能消耗：

• HTTP 大部分基于 JSON 實(shí)現(xiàn)的，序列化需要時(shí)間和性能。
• RPC 可以基于二進(jìn)制進(jìn)行傳輸，消耗性能少一點(diǎn)。

推薦一個(gè)像 JSON ，但比 JSON 傳輸更快占用更少的新型序列化類庫(kù)MessagePack。

官網(wǎng)地址：https://msgpack.org/

還有一些服務(wù)治理、負(fù)載均衡配置的區(qū)別。

使用場(chǎng)景：

比如瀏覽器接口、APP接口、第三方接口，推薦使用 HTTP。

比如集團(tuán)內(nèi)部的服務(wù)調(diào)用，推薦使用 RPC。

RPC 比 HTTP 性能消耗低，傳輸效率高，服務(wù)治理也方便。

推薦使用的 RPC 框架：Thrift。

二、動(dòng)態(tài)令牌

簡(jiǎn)單介紹下幾種動(dòng)態(tài)令牌，感興趣的可以深入了解下。

OTP：One-Time Password 一次性密碼。

HOTP：HMAC-based One-Time Password 基于HMAC算法加密的一次性密碼。

TOTP：Time-based One-Time Password 基于時(shí)間戳算法的一次性密碼。

使用場(chǎng)景：

• 公司VPN登錄雙因素驗(yàn)證
• 服務(wù)器登錄動(dòng)態(tài)密碼驗(yàn)證
• 網(wǎng)銀、網(wǎng)絡(luò)游戲的實(shí)體動(dòng)態(tài)口令牌
• 銀行轉(zhuǎn)賬動(dòng)態(tài)密碼

小結(jié)

本文講了設(shè)計(jì)簽名驗(yàn)證需要滿足的一些條件：可變性、時(shí)效性、唯一性、完整性。

還講了一些加密方法：?jiǎn)蜗蛏⒘屑用堋?duì)稱加密、非對(duì)稱加密，同時(shí)分析了各種加密方法的優(yōu)缺點(diǎn)，大家可以根據(jù)自己的業(yè)務(wù)特點(diǎn)進(jìn)行自由選擇。

提供了 Aes、Rsa 相關(guān)代碼示例。

分享了可以編寫接口文檔的在線系統(tǒng)。

分享了開發(fā)過程中使用的接口調(diào)試工具。

擴(kuò)展中分析了 HTTP 和 RPC 的區(qū)別，動(dòng)態(tài)令牌的介紹等。

以上就是詳解PHP接口簽名驗(yàn)證的詳細(xì)內(nèi)容，更多關(guān)于PHP接口簽名驗(yàn)證的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！