校驗簽名

// [1] 從請求頭中獲取簽名

$signature = $this->request->header()['x-resty-signature'] ?? '';

// [2] 簽名解析 獲取： 哈希算法 和 明文數據

list($hashType, $hashValue) = explode('=', $signature, 2);

// [3] 獲取請求的內容，格式為json字符換

$jsonContent = $this->request->getContent();

if(empty($jsonContent)) {

    return response_json(400, '請求內容不能為空');

}

$arrayContent = json_decode($jsonContent, true);

if(!isset($arrayContent['app_key']) || !isset($arrayContent['timestamp'])) {

    return response_json(400, '請求app_key timestamp不能為空');

}



if (($arrayContent['timestamp'] + 20) < time() ) {

    return response_json(403, 'timestamp過期');

}

$appInfo = AppModel::where('app_key',$arrayContent['app_key'])->findOrEmpty();

if($appInfo->isEmpty()) {

    return response_json(400, '無效的app_key');

}

// [4] 生成 appSecret

$appSecret = sha1($appInfo->app_key . '|'.$appInfo->update_time);

// [5] hash_hmac — 使用 HMAC 方法生成帶有密鑰的哈希值

$checkHash = hash_hmac($hashType, json_encode($arrayContent), $appSecret);

// [6] 簽名校驗

if ($checkHash != $hashValue) {

    return response_json(403, '無效的簽名',$this->request->header());

}

return response_json(200, 'ok',$arrayContent);

數據加密

在設計和實現API接口時，我們經常需要處理一些敏感數據，例如用戶的登錄密碼、銀行卡號、身份證號碼等。這些信息若以明文形式在網絡上傳輸，將面臨極大的安全風險，容易受到惡意監聽和數據泄露的威脅。

在設計和實現API接口時，我們經常需要處理一些敏感數據，例如用戶的登錄密碼、銀行卡號、轉賬金額和身份證號碼等。這些信息若以明文形式在網絡上傳輸，將面臨極大的安全風險，容易受到惡意監聽和數據泄露的威脅。

安全建議

為了確保這些關鍵信息的安全，我們必須采取加密措施來保護數據的完整性和隱私性。以下是一些加強數據安全的建議：

1. 使用HTTPS：始終通過HTTPS協議發送數據，利用SSL/TLS加密層來保護數據傳輸過程中的安全。
2. 敏感數據加密：對于特別敏感的信息，如登錄密碼，應在客戶端側進行加密處理，確保只有授權的服務器端能夠解密并訪問原始數據。
3. 散列密碼存儲：對于密碼等驗證信息，不應以明文形式存儲或傳輸。應使用強散列函數（如bcrypt、scrypt或Argon2）來處理密碼，并存儲散列值。

案例

SM4算法是一種分組密碼算法。其分組長度為128bit，密鑰長度也為128bit。加密算法與密鑰擴展算法均采用32輪非線性迭代結構，以字（32位）為單位進行加密運算，每一次迭代運算均為一輪變換函數F。SM4算法加/解密算法的結構相同，只是使用輪密鑰相反，其中解密輪密鑰是加密輪密鑰的逆序。

SM4加密方式類似于AES加密，為對稱加密，可以通過相應的秘鑰進行加密和解密

加密

$key = '35d251411ea04318565f0dbda6ffb6a8';



// 加密內容

$content = [

    'name' => 'Tinywan',

    'School' => 'ZheJiang University',

    'age' => 24,

    'github' => [

        'url' => 'https://github.com/Tinywan',

        'start' => 2000,

    ],

];



// 必須轉換為字符串

$content = json_encode($content, JSON_UNESCAPED_UNICODE);

$sm4 = new SM4($key);

$encryptContent = $sm4->encrypt($content);

var_dump($encryptContent);

// 加密內容：b4358f5860343dbf2089ba75ee55deca8d922a069413f39cb3f8b64c01048c780ba5f03290642505d65d79c59684d76cf42443047f547c9f29dc2a49f872a2719ce00539058ab1fb5830e8e0c10144b574a87118390baa765b3429ba7afe5d28

解密

$key = '35d251411ea04318565f0dbda6ffb6a8';



// 加密內容

$encryptContent = 'b4358f5860343dbf2089ba75ee55deca8d922a069413f39cb3f8b64c01048c780ba5f03290642505d65d79c59684d76cf42443047f547c9f29dc2a49f872a2719ce00539058ab1fb5830e8e0c10144b574a87118390baa765b3429ba7afe5d28';



$sm4 = new SM4($key);

$decryptedJsonContent = $sm4->decrypt($encryptContent);

print_r($decryptedJsonContent);

解密結果

{

    "name": "Tinywan",

    "School": "ZheJiang University",

    "age": 24,

    "github": {

        "url": "https://github.com/Tinywan",

        "start": 2021

    }

}

可以通過 json_decode($decryptedJsonContent, true) ，轉換為數組使用

響應格式統一

API接口響應格式的統一對于客戶端開發者來說非常重要，它有助于提高開發效率、降低出錯率，并能夠快速集成和調試接口。

格式建議

以下是一些建議，用于確保API響應格式的統一性：

1. 明確的版本號：在響應中包含API版本號，這樣在API更新時可以保持向后兼容性。
2. 統一的狀態碼：使用標準HTTP狀態碼來表示請求的結果，如200表示成功，400表示客戶端錯誤，500表示服務器錯誤等。
3. 數據封裝：響應的數據應該被封裝在一個統一的字段中，例如data，這樣可以在不同的響應中保持一致性。
4. 分頁信息：如果響應數據支持分頁，應提供統一的分頁信息，如total（總記錄數）、perPage（每頁記錄數）、currentPage（當前頁碼）和totalPages（總頁數）。

通過以上措施，可以確保API接口的響應格式統一、清晰，并且易于客戶端開發者使用和集成。

案例

成功示例

HTTP/1.1 200 OK

Content-Type: application/json;charset=UTF-8



{

    "code": 0,

    "msg": "success",

    "data": {

        "token_type": "Bearer",

        "expires_in": 7200,

        "access_token": "XXXXXXXXXXX"

    }

}

異常實例

HTTP/1.1 401 Unauthorized

Content-Type: application/json;charset=UTF-8



{

    "code": 0,

    "msg": "應用信息不存在",

    "data": {}

}

本文章轉載微信公眾號@開源技術小棧

#你可能也喜歡這些API文章!

使用NestJS和Prisma構建REST API：身份驗證

如何快速實現REST API集成以優化業務流程

使用FastAPI為Python構建應用程序

使用Django REST Framework構建API

使用Flask、Google Cloud SQL和App Engine設置API

微服務為什么要用到 API 網關？

14個文本轉圖像AI API

什么是API定義？

修復API中損壞的訪問控制的指南