PHP开发api接口，如何做才算是安全的

php的api接口

在实际工作中，使用PHP写api接口是经常做的，PHP写好接口后，前台就可以通过链接获取接口提供的数据，而返回的数据一般分为两种情况，xml和json,在这个过程中，服务器并不知道，请求的来源是什么，有可能是别人非法调用我们的接口，获取数据，因此就要使用安全验证。

验证原理

示意图

原理

从图中可以看得很清楚，前台想要调用接口，需要使用几个参数生成签名。

时间戳：当前时间

随机数：随机生成的随机数

口令：前后台开发时，一个双方都知道的标识，相当于暗号

算法规则：商定好的运算规则，上面三个参数可以利用算法规则生成一个签名。

前台生成一个签名，当需要访问接口的时候，把时间戳，随机数，签名通过URL传递到后台。后台拿到时间戳，随机数后，通过一样的算法规则计算出签名，然后和传递过来的签名进行对比，一样的话，返回数据。

算法规则

在前后台交互中，算法规则是非常重要的，前后台都要通过算法规则计算出签名，至于规则怎么制定，看你怎么高兴怎么来。

我这个算法规则是

1 时间戳，随机数，口令按照首字母大小写顺序排序

2 然后拼接成字符串

3 进行sha1加密

4 再进行MD5加密

5 转换成大写。

项目实例

//模拟前台请求服务器api接口
public function getDataFromServer(){
    $timeStamp = time(); //时间戳
    $randomStr = $this -> get_md5(); //随机数
    $signature = $this -> arithmetic($timeStamp,$randomStr); //生成签名
    $url = "http://abc.top/respond/t/{$timeStamp}/r/{$randomStr}/s/{$signature}"; //url地址
    return http_get($url); //调用get接口并且返回值
}

//响应前台的请求
public function respond(){
    //验证身份
    $api = Request::param(); //TP中接参方法
    $str = $this -> arithmetic($api['t'],$api['r']);
    //判断是否验证成功
    if($str != $api['s']){
        return "接口验证失败";
    }
    //查询数据或者实现业务逻辑

    //验证成功了返回数据
    return json_encode(['msg'=>"测试成功",'code'=>200]);
}

//API接口加/解密算法
public function arithmetic($timeStamp,$randomStr){
    //判断接口请求时间是否超过三秒
    if(time()-$timeStamp<=3){
        $arr['timeStamp'] = $timeStamp;
    }
    $arr['randomStr'] = $randomStr;
    $arr['token'] = "APITOKEN"; //可从数据库调取
    //按照首字母大小写顺序排序
    sort($arr,SORT_STRING);
    //拼接成字符串
    $str = implode($arr);
    //进行sha1和md5加密
    $signature = sha1($str);
    $signature = md5($signature);
    //转换成大写
    $signature = strtoupper($signature);
    return $signature;
}

//随机字符串方法
public function get_md5(){
    return md5(password_hash(uniqid(), PASSWORD_DEFAULT));
}