PHP 的API接口

使用PHP寫api接口是經(jīng)常做的，PHP寫好接口后，前臺就可以通過鏈接獲取接口提供的數(shù)據(jù)，而返回的數(shù)據(jù)一般分為兩種情況，xml和json,在這個過程中，服務器并不知道，請求的來源是什么，有可能是別人非法調(diào)用我們的接口，獲取數(shù)據(jù)，因此就要使用安全驗證

浦城ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

原理

從圖中可以看得很清楚，前臺想要調(diào)用接口，需要使用幾個參數(shù)生成簽名。

時間戳：當前時間

隨機數(shù)：隨機生成的隨機數(shù)

口令：前后臺開發(fā)時，一個雙方都知道的標識，相當于暗號

算法規(guī)則：商定好的運算規(guī)則，上面三個參數(shù)可以利用算法規(guī)則生成一個簽名。前臺生成一個簽名，當需要訪問接口的時候，把時間戳，隨機數(shù)，簽名通過URL傳遞到后臺。后臺拿到時間戳，隨機數(shù)后，通過一樣的算法規(guī)則計算出簽名，然后和傳遞過來的簽名進行對比，一樣的話，返回數(shù)據(jù)。

算法規(guī)則

在前后臺交互中，算法規(guī)則是非常重要的，前后臺都要通過算法規(guī)則計算出簽名，至于規(guī)則怎么制定，看你怎么高興怎么來。

我這個算法規(guī)則是

時間戳，隨機數(shù)，口令按照首字母大小寫順序排序

然后拼接成字符串

進行sha1加密

再進行MD5加密

轉(zhuǎn)換成大寫。

PHP如何保證api接口數(shù)

1、當用戶登錄APP時，使用https協(xié)議調(diào)用后臺相關接口，服務器端根據(jù)用戶名和密碼時生成一個access_key，并將access_key保存在session中，將生成的access_key和session_id返回給APP端。

2、APP端將接收到的access_key和session_id保存起來

3、當APP端調(diào)用接口傳輸數(shù)據(jù)時，將所傳數(shù)據(jù)和access_key使用加密算法生成簽名signature，并將signature和session_id一起發(fā)送給服務器端。

4、服務器端接收到數(shù)據(jù)時，使用session_id從session中獲取對應的access_key，將access_key和接收到的數(shù)據(jù)使用同一加密算法生成對應signature，如果生成的簽名和接收到的signature相同時，則表明數(shù)據(jù)合法

php代碼怎么加密最好，不能破解的那種

在使用PHP開發(fā)Web應用的中，很多的應用都會要求用戶注冊，而注冊的時候就需要我們對用戶的信息進行處理了，最常見的莫過于就是郵箱和密碼了，本文意在討論對密碼的處理：也就是對密碼的加密處理。

MD5

相信很多PHP開發(fā)者在最先接觸PHP的時候，處理密碼的首選加密函數(shù)可能就是MD5了，我當時就是這樣的：

$password = md5($_POST["password"]);

上面這段代碼是不是很熟悉？然而MD5的加密方式目前在PHP的江湖中貌似不太受歡迎了，因為它的加密算法實在是顯得有點簡單了，而且很多破解密碼的站點都存放了很多經(jīng)過MD5加密的密碼字符串，所以這里我是非常不提倡還在單單使用MD5來加密用戶的密碼的。

SHA256 和 SHA512

其實跟前面的MD5同期的還有一個SHA1加密方式的，不過也是算法比較簡單，所以這里就一筆帶過吧。而這里即將要說到的SHA256 和 SHA512都是來自于SHA2家族的加密函數(shù)，看名字可能你就猜的出來了，這兩個加密方式分別生成256和512比特長度的hash字串。

他們的使用方法如下：

?php

$password = hash("sha256", $password);

PHP內(nèi)置了hash()函數(shù)，你只需要將加密方式傳給hash()函數(shù)就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。

鹽值

在加密的過程，我們還有一個非常常見的小伙伴：鹽值。對，我們在加密的時候其實會給加密的字符串添加一個額外的字符串，以達到提高一定安全的目的：

?php

function generateHashWithSalt($password) {$intermediateSalt = md5(uniqid(rand(), true));$salt = substr($intermediateSalt, 0, 6);

return hash("sha256", $password . $salt);}

Bcrypt

如果讓我來建議一種加密方式的話，Bcrypt可能是我給你推薦的最低要求了，因為我會強烈推薦你后面會說到的Hashing API，不過Bcrypt也不失為一種比較不錯的加密方式了。

?php

function generateHash($password) {

if (defined("CRYPT_BLOWFISH") CRYPT_BLOWFISH) {$salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);return crypt($password, $salt);

}

}

Bcrypt 其實就是Blowfish和crypt()函數(shù)的結合，我們這里通過CRYPT_BLOWFISH判斷Blowfish是否可用，然后像上面一樣生成一個鹽值，不過這里需要注意的是，crypt()的鹽值必須以$2a$或者$2y$開頭，詳細資料可以參考下面的鏈接：

更多資料可以看這里：

Hashing API

這里才是我們的重頭戲，Password Hashing API是PHP 5.5之后才有的新特性，它主要是提供下面幾個函數(shù)供我們使用：

password_hash() – 對密碼加密.

password_verify() – 驗證已經(jīng)加密的密碼，檢驗其hash字串是否一致.

password_needs_rehash() – 給密碼重新加密.

password_get_info() – 返回加密算法的名稱和一些相關信息.

雖然說crypt()函數(shù)在使用上已足夠，但是password_hash()不僅可以使我們的代碼更加簡短，而且還在安全方面給了我們更好的保障，所以，現(xiàn)在PHP的官方都是推薦這種方式來加密用戶的密碼，很多流行的框架比如Laravel就是用的這種加密方式。

?php

$hash = password_hash($passwod, PASSWORD_DEFAULT);對，就是這么簡單，一行代碼，All done。

PASSWORD_DEFAULT目前使用的就是Bcrypt，所以在上面我會說推薦這個，不過因為Password Hashing API做得更好了，我必須鄭重地想你推薦Password Hashing API。這里需要注意的是，如果你代碼使用的都是PASSWORD_DEFAULT加密方式，那么在數(shù)據(jù)庫的表中，password字段就得設置超過60個字符長度，你也可以使用PASSWORD_BCRYPT，這個時候，加密后字串總是60個字符長度。

這里使用password_hash()你完全可以不提供鹽值(salt)和 消耗值 (cost)，你可以將后者理解為一種性能的消耗值，cost越大，加密算法越復雜，消耗的內(nèi)存也就越大。當然，如果你需要指定對應的鹽值和消耗值，你可以這樣寫：

?php

$options = [

'salt' = custom_function_for_salt(), //write your own code to generate a suitable salt'cost' = 12 // the default cost is 10

];

$hash = password_hash($password, PASSWORD_DEFAULT, $options);密碼加密過后，我們需要對密碼進行驗證，以此來判斷用戶輸入的密碼是否正確：

?php

if (password_verify($password, $hash)) {

// Pass

}

else {

// Invalid

}

很簡單的吧，直接使用password_verify就可以對我們之前加密過的字符串（存在數(shù)據(jù)庫中）進行驗證了。

然而，如果有時候我們需要更改我們的加密方式，如某一天我們突然想更換一下鹽值或者提高一下消耗值，我們這時候就要使用到password_needs_rehash()函數(shù)了：

?php

if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' = 12])) {// cost change to 12

$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' = 12]);// don't forget to store the new hash!

}

只有這樣，PHP的Password Hashing API才會知道我們重現(xiàn)更換了加密方式，這樣的主要目的就是為了后面的密碼驗證。

簡單地說一下password_get_info()，這個函數(shù)一般可以看到下面三個信息：

algo – 算法實例

algoName – 算法名字

options – 加密時候的可選參數(shù)

所以，現(xiàn)在就開始用PHP 5.5吧，別再糾結低版本了。

Happy Hacking

thinkphp數(shù)據(jù)庫配置信息加密怎么處理

今天有一個朋友問我thinkphp的這個問題，剛好百度搜索到你這個問題。已經(jīng)解決。就幫你解答一下這個問題。

首先我嘗試在入口文件封裝一個加密函數(shù)，我用php des 加密，然后在配置文件config.php調(diào)用。然后在控制器里面使用，打印配置文件:dump(C());//輸出所有的配置文件信息, 雖然能看到正確的數(shù)據(jù)用戶名和密碼，但是會報錯。失敗告終。

我說一下我的解決方法。很簡單。

1:把配置文件里面的用戶名，密碼，數(shù)據(jù)庫名瞎寫一寫，別人看到你的代碼的配置文件看到的就是錯誤的數(shù)據(jù)庫名和密碼了。比如：

'DB_NAME' = 'SB', // 數(shù)據(jù)庫名

'DB_USER' = 'ni_da_ye', // 用戶名

'DB_PWD' = 'da_da_bi', // 密碼

在每個控制器文件里面。加入一段代碼。

比如你的IndexController.class.php文件。加下面的代碼。

/* 初始化方法*/

public function __construct(){

parent::__construct();

C("DB_NAME",decrypt('712349721937491237'));//數(shù)據(jù)庫名，

C('DB_USER',decrypt('712349721937491237'));//用戶名

C('DB_PWD',decrypt('712349721937491237'));//密碼

}

看清楚了嗎？

decrypt（）這個函數(shù)就是我封裝的一個加密函數(shù)，親自測試沒有錯誤?？赡軙奚恍┬阅?。但是保證了用戶名，密碼，數(shù)據(jù)庫名沒有泄露。甚至你都可以把數(shù)據(jù)庫連接地址也加密一下。希望能幫到你。

PHP加密函數(shù)可以考慮用des，aes這些可逆加密。別用什么md4，md5.

新聞名稱：phpapi加密數(shù)據(jù) phpapi數(shù)據(jù)調(diào)用
網(wǎng)站鏈接：http://vcdvsql.cn/article10/dosdedo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、微信公眾號、自適應網(wǎng)站、網(wǎng)站設計、標簽優(yōu)化、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)