PHP轉Go系列 | ThinkPHP與Gin框架之API介面簽名設計實踐

来源:https://www.cnblogs.com/yxhblogs/p/18282751
-Advertisement-
Play Games

大家好,我是碼農先森。 回想起以前用模版渲染數據的歲月,那時都沒有 API 介面開發的概念。PHP 服務端和前端 HTML、CSS、JS 代碼混合式開發,也不分前端、後端程式員,大家都是全乾工程師。隨著前後端分離、移動端開發的興起,用後端渲染數據的開發方式效率低下,已經不能滿足業務對需求快速上線的要 ...


大家好,我是碼農先森。

回想起以前用模版渲染數據的歲月,那時都沒有 API 介面開發的概念。PHP 服務端和前端 HTML、CSS、JS 代碼混合式開發,也不分前端、後端程式員,大家都是全乾工程師。隨著前後端分離、移動端開發的興起,用後端渲染數據的開發方式效率低下,已經不能滿足業務對需求快速上線的要求了。於是為了前後端的高效協同開發引入了 API 介面,只要在開發需求之前約定好數據傳參,之後便可以開始啟動自己的開發任務且互不幹涉,最後再進行統一的介面聯調。

根據熵增原則,如果任何事情不加以規則來限制,則都會朝著泛濫的方式發展。同樣 API 介面開發也會出現這樣的情況,由於每個人的開發習慣不同,導致 API 介面的開發格式五花八門,聯調過程困難重重。無規矩不成方圓,因此為了規範 API 介面開發的形式,同時也結合我平時的項目開發經驗。總結了一些 API 介面開發的實踐經驗,希望對大家能有所幫助。

話不多說,開整!

這次主要的實踐內容是 API 介面簽名設計,以下是一些關鍵的步驟:

  • 給前端分配一個 AppKey,這個 AppKey 需要帶在 HTTP Header 頭中進行傳輸。
  • 在前端的傳參中需要額外增加 時間戳 timestamp、隨機字元串 nonce 參數。
  • 將前端的所有參數排序後拼接成一個字元串,再使用 MD5 加密函數生成 sign 簽名字元串。
  • 服務端接收到參數後,先驗證 AppKey 是否一致。
  • 再驗證前端所傳的時間戳參數是否還在有效期。
  • 之後在服務端使用同樣的加密演算法生成 sign 簽名串,再與前端的 sign 簽名串比對。
  • 最後判斷前端所傳的隨機字元串是否已被使用,一次請求有效。

接下來開始在 ThinkPHP 和 Gin 框架中進行實現,文中只展示了核心的代碼,完整代碼的獲取方式放在了文章末尾。

我們先熟悉一下項目結構核心的目錄,有助於理解文中的內容。一個正常的請求首先要經過路由 route 再到中間件 middleware 最後到控制器 controller,API 介面的簽名驗證是在中間件 middleware 中實現,作為一個中間層在整個請求鏈路中起著承上啟下的重要作用。

[manongsen@root php_to_go]$ tree -L 2
.
├── go_sign
│   ├── app
│   │   ├── controller
│   │   │   └── user.go
│   │   ├── middleware
│   │   │   └── api_sign.go
│   │   ├── config.go
│   │   └── route.go
│   ├── go.mod
│   ├── go.sum
│   └── main.go
└── php_sign
│   ├── app
│   │   ├── controller
│   │   │   └── User.php
│   │   ├── middleware
│   │   │   └── ApiSign.php
│   │   └── middleware.php
│   ├── composer.json
│   ├── composer.lock
│   ├── config
│   ├── route
│   │   └── app.php
│   ├── think
│   ├── vendor
│   └── .env

ThinkPHP

使用 composer 創建基於 ThinkPHP 框架的 php_sign 項目。

[manongsen@root ~]$ pwd
/home/manongsen/workspace/php_to_go/php_sign
[manongsen@root php_sign]$ composer create-project topthink/think php_sign

隨機字元串需要用到 Redis 進行存儲,所以這裡需要安裝 Redis 擴展包,便於操作 Redis。

[manongsen@root php_sign]$ composer require predis/predis

在項目 php_sign 下創建 ApiSign 中間件。

[manongsen@root php_sign]$ php think make:middleware ApiSign
Middleware:app\middleware\ApiSign created successfully.

在項目 php_sign 下複製一個 env 配置文件,並且定義好 AppKey。

[manongsen@root php_sign]$ cp .example.env .env

API 介面簽名的驗證是放在框架的中間件中進行實現的,其中時間戳的有效時間設置的是 2 秒,有些朋友會有疑惑為什麼是 2 秒?3 秒、5 秒不行嗎?這裡的有效時間是基於網路通信的延時考慮的,根據普遍情況延時大概是 2 秒。如果你的服務延時比較長,也可以設置長一些,並沒有一個定量的值,話說到這裡也提醒一下如果你的介面延時超過 2 秒,大概率需要優化一下代碼了。此外,還有一個隨機字元串參數,這個參數的目的是為了防止介面被重放,如果做過爬蟲的朋友可能對這個會深有感觸,這也是防範爬蟲的一種手段。

<?php
declare (strict_types = 1);

namespace app\middleware;

use think\facade\Env;
use think\facade\Cache;

class ApiSign
{
    /**
     * 處理請求
     *
     * @param \think\Request $request
     * @param \Closure       $next
     * @return Response
     */
    public function handle($request, \Closure $next)
    {
        /*********************** 驗證AppKey參數 ******************/
        $headers = $request->header();
        if (!isset($headers["app-key"])) {
            return json(["code" => 400, "msg" => "秘鑰參數缺失"]);
        }
        $reqAppKey = $headers["app-key"];
        $vfyAppKey = Env::get("APP_KEY");
        if ($reqAppKey != $vfyAppKey) {
            return json(["code" => 400, "msg" => "簽名秘鑰無效"]);
        }

        /*********************** 驗證時間戳參數 *******************/
        $params = $request->param();
        if (!isset($params["timestamp"])) {
            return json(["code" => 400, "msg" => "時間參數缺失"]);
        }
        $timestamp = $params["timestamp"];
        $nowTime = time();
        if (($nowTime-$timestamp) > 2) {
            return json(["code" => 400, "msg" => "時間參數過期"]);
        }

        /*********************** 驗證簽名串參數 *******************/
        if (!isset($params["sign"])) {
            return json(["code" => 400, "msg" => "簽名參數缺失"]);
        }
        $reqSign = $params["sign"];
        unset($params["sign"]);
        // 將參數進行排序
        ksort($params);
        $paramStr = http_build_query($params);
        // md5 加密處理
        $vfySign = md5($paramStr . "&app_key={$vfyAppKey}");
        // 比較簽名參數
        if ($reqSign != $vfySign) {
            return json(["code" => 400, "msg" => "簽名驗證失敗"]);
        }

        /*********************** 驗證隨機串參數 *******************/
        if (!isset($params["nonce_str"])) {
            return json(["code" => 400, "msg" => "隨機串參數缺失"]);
        }
        $nonceStr = $params["nonce_str"];

        // 判斷 nonce_str 隨機字元串是否被使用
        $redis = Cache::store('redis')->handler();
        $flag = $redis->exists($nonceStr);
        if ($flag) {
            return json(["code" => 400, "msg" => "隨機串參數無效"]);
        }

        // 存儲 nonce_str 隨機字元串
        $redis->set($nonceStr, $timestamp, 2);
        return $next($request);
    }
}

啟動 php_sign 服務。

[manongsen@root php_sign]$ php think run
ThinkPHP Development server is started On <http://0.0.0.0:8000/>
You can exit with `CTRL-C`
Document root is: /home/manongsen/workspace/php_to_go/php_sign/public
[Wed Jul  3 22:02:16 2024] PHP 8.3.4 Development Server (http://0.0.0.0:8000) started

使用 Postman 工具進行測試驗證,通過構造正確的參數,便可以成功的返回數據。

Gin

通過 go mod 初始化 go_sign 項目。

[manongsen@root ~]$ pwd
/home/manongsen/workspace/php_to_go/go_sign
[manongsen@root go_sign]$ go mod init go_sign

安裝 Gin 框架庫,這裡與 ThinkPHP 不一樣的是 Gin 框架是以第三庫的形式在 gin_sign 項目中進行引用的。

[manongsen@root go_sign]$ go get github.com/gin-gonic/gin

安裝 Redis 操作庫,與在 ThinkPHP 框架中一樣也要使用到 Redis。

[manongsen@root go_sign]$ go get github.com/go-redis/redis

這是在 Gin 框架中利用中間件來進行 API 介面簽名驗證,從代碼量上來看就比 PHP 要多了。其中還需要自行合併 GET 和 POST 參數,方便在中間件中統一進行簽名處理。對參數的拼接也沒有類似 http_build_query 的方法,總體上來說在 Go 中進行簽名驗證需要繁瑣不少。

package middleware

import (
	"bytes"
	"crypto/md5"
	"encoding/json"
	"fmt"
	"go_sign/app"
	"io/ioutil"
	"net/http"
	"sort"
	"strconv"
	"strings"
	"time"

	"github.com/gin-gonic/gin"
)

func ApiSign() gin.HandlerFunc {
	return func(c *gin.Context) {
		/*************************** 驗證AppKey參數 **************************/
		reqAppKey := c.Request.Header.Get("app-key")
		if len(reqAppKey) == 0 {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "秘鑰參數缺失"})
			c.Abort()
			return
		}
		vfyAppKey := app.APP_KEY
		if reqAppKey != vfyAppKey {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "秘鑰參數無效"})
			c.Abort()
			return
		}

		// 獲取請求參數
		params := mergeParams(c)

		/*************************** 驗證時間戳參數 **************************/
		if _, ok := params["timestamp"]; !ok {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "時間參數無效"})
			c.Abort()
			return
		}
		timestampStr := fmt.Sprintf("%v", params["timestamp"])

		timestampInt, err := strconv.ParseInt(timestampStr, 0, 64)
		if err != nil {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "時間參數無效"})
			c.Abort()
			return
		}

		nowTime := time.Now().Unix()
		if nowTime-timestampInt > 2 {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "時間參數過期"})
			c.Abort()
			return
		}

		/*************************** 驗證簽名串參數 **************************/
		if _, ok := params["sign"]; !ok {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "簽名參數無效"})
			c.Abort()
			return
		}
		reqSign := fmt.Sprintf("%v", params["sign"])

		// 針對 dataMap 進行排序
		dataMap := params
		keys := make([]string, len(dataMap))
		i := 0
		for k := range dataMap {
			keys[i] = k
			i++
		}
		sort.Strings(keys)
		var buf bytes.Buffer
		for _, k := range keys {
			if k != "sign" && !strings.HasPrefix(k, "reserved") {
				buf.WriteString(k)
				buf.WriteString("=")
				buf.WriteString(fmt.Sprintf("%v", dataMap[k]))
				buf.WriteString("&")
			}
		}
		bufStr := buf.String()
		dataStr := bufStr + "app_key=" + app.APP_KEY

		// 進行 md5 加密處理
		data := []byte(dataStr)
		has := md5.Sum(data)
		vfySign := fmt.Sprintf("%x", has) // 將[]byte轉成16進位
		if reqSign != vfySign {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "簽名驗證失敗"})
			c.Abort()
			return
		}

		/*************************** 驗證隨機串參數 **************************/
		if _, ok := params["nonce_str"]; !ok {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "隨機串參數缺失"})
			c.Abort()
			return
		}
		nonceStr := fmt.Sprintf("%v", params["nonce_str"])

		// 判斷是否存在 nonce_str 隨機字元串
		flag, _ := app.RedisConn.Exists(nonceStr).Result()
		if flag > 0 {
			c.JSON(http.StatusOK, gin.H{"code": 400, "msg": "隨機串參數無效"})
			c.Abort()
			return
		}

		// 存儲nonce_str隨機字元串
		app.RedisConn.Set(nonceStr, timestampInt, time.Second*2).Result()

		c.Next()
	}
}

// 將 GET 和 POST 的參數合併到同一 Map
func mergeParams(c *gin.Context) map[string]interface{} {
	var (
		dataMap  = make(map[string]interface{})
		queryMap = make(map[string]interface{})
		postMap  = make(map[string]interface{})
	)

	contentType := c.ContentType()
	for k := range c.Request.URL.Query() {
		queryMap[k] = c.Query(k)
	}

	if contentType == "application/json" {
		if c.Request != nil && c.Request.Body != nil {
			bodyBytes, _ := ioutil.ReadAll(c.Request.Body)
			if len(bodyBytes) > 0 {
				if err := json.NewDecoder(bytes.NewBuffer(bodyBytes)).Decode(&postMap); err != nil {
					return nil
				}
				c.Request.Body = ioutil.NopCloser(bytes.NewBuffer(bodyBytes))
			}
		}
	} else if contentType == "multipart/form-data" {
		for k, v := range c.Request.PostForm {
			if len(v) > 1 {
				postMap[k] = v
			} else if len(v) == 1 {
				postMap[k] = v[0]
			}
		}
	} else {
		for k, v := range c.Request.PostForm {
			if len(v) > 1 {
				postMap[k] = v
			} else if len(v) == 1 {
				postMap[k] = v[0]
			}
		}
	}

	// 優先順序:以post優先順序最高,會覆蓋get參數
	for k, v := range queryMap {
		dataMap[k] = v
	}
	for k, v := range postMap {
		dataMap[k] = v
	}

	return dataMap
}

啟動 gin_sin 服務。

[manongsen@root go_sign]$ go run main.go
[GIN-debug] [WARNING] Creating an Engine instance with the Logger and Recovery middleware already attached.

[GIN-debug] [WARNING] Running in "debug" mode. Switch to "release" mode in production.
 - using env:   export GIN_MODE=release
 - using code:  gin.SetMode(gin.ReleaseMode)

[GIN-debug] GET    /user/info                --> go_sign/app/controller.UserInfo (4 handlers)
[GIN-debug] [WARNING] You trusted all proxies, this is NOT safe. We recommend you to set a value.
Please check https://pkg.go.dev/github.com/gin-gonic/gin#readme-don-t-trust-all-proxies for details.
[GIN-debug] Listening and serving HTTP on :8001

同樣也使用 Postman 工具進行測試驗證,通過構造正確的參數,便可以成功的返回數據。

結語

數據安全一直是個熱門的話題,API 介面在數據的傳輸上扮演著至關重要的角色。為了 API 介面的安全性、健壯性,完整性,往往需要將網路上的數據進行簽名加密傳輸。同時為了防止 API 介面被重放爬蟲偽造等類似惡意攻擊的手段,還要在介面設計時增加有效時間、隨機字元串、簽名串等參數,來保障數據的安全性。這一次的 API 介面簽名設計實踐,大家也可以手動嘗試實驗一下,希望對大家的日常工作能有所幫助。最後感興趣的朋友可以在微信公眾號內回覆「4867」獲取完整的實踐代碼。


歡迎關註、分享、點贊、收藏、在看,我是微信公眾號「碼農先森」作者。


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 本書由Python pandas項目創始人Wes McKinney親筆撰寫,詳細介紹利用Python進行操作、處理、清洗和規整數據等方面的具體細節和基本要點。第2版針對Python 3.6進行全面修訂和更新,涵蓋新版的pandas、NumPy、IPython和Jupyter,並增加大量實際案例,可以 ...
  • 一:下載安裝 1、安裝anaconda anaconda官網 2、安裝pycharm pycharm官網 二:配置環境 1、找到anaconda安裝位置 在系統環境變數中添加如下信息 打開DOS框,輸入conda --version,出現如下信息說明配置成功 三:創建虛擬環境 1、打開DOS框;輸入 ...
  • 正文 今天想寫的內容有點多,就不寫在紙上了。 首先,最高興的,還是我們的《艾爾登法環》有了進展。我和兄長終於通過了 “火山官邸:地底拷問所”。我真是不知道,我和他在這個地方被那兩個擄人少女人拷問了多少次了。不僅如此,拉塔恩也打過了,去了亞壇高原,反正進展很大。 周六的時候加班。從早上 10 點多,持 ...
  • 1.Java基礎 1.1 為什麼Java代碼可以實現一次編寫、到處運行? 參考答案 JVM(Java虛擬機)是Java跨平臺的關鍵。 在程式運行前,Java源代碼(.java)需要經過編譯器編譯成位元組碼(.class)。在程式運行時,JVM負責將位元組碼翻譯成特定平臺下的機器碼並運行,也就是說,只要在 ...
  • 盒子IM —— 一個仿微信實現的網頁版聊天軟體,支持私聊、群聊、離線消息、發送語音、圖片、文件、emoji 表情等功能,不依賴任何第三方收費組件。 ...
  • 前言 上一篇文章香橙派5plus上跑雲手機方案一 redroid(帶硬體加速)中說了怎麼運行redroid,這篇補一下怎麼修改參數編譯內核。 補充 上篇文章有個內容需要補充一下:更新完內核需要用下麵的命令防止內核被apt更新,不然後面使用apt update又回到官方的內核(註意版本號,當前是100 ...
  • 技術債可能來源於多種原因,比如時間壓力、資源限制、技術選型不當等。它可以表現為代碼中的臨時性修補、未能徹底解決的設計問題、缺乏文檔或測試覆蓋等。雖然技術債可以幫助快速推進項目進度,但長期來看,它會增加軟體維護的成本和風險,降低系統的穩定性和可維護性。 ...
  • 大模型技術的發展和應用,預示著更加智能化、個性化未來的到來。如果將大模型比喻為正在疾馳的科技列車,語料便是珍貴的“燃料”。本次世界人工智慧大會期間,合合信息為大模型打造的“加速器”解決方案備受關註。 在大模型訓練的上游階段,“加速器”中的文檔解析引擎將助力大模型突破在書籍、論文、研報等文檔中的版面解 ...
一周排行
    -Advertisement-
    Play Games
  • 通過WPF的按鈕、文本輸入框實現了一個簡單的SpinBox數字輸入用戶組件並可以通過數據綁定數值和步長。本文中介紹了通過Xaml代碼實現自定義組件的佈局,依賴屬性的定義和使用等知識點。 ...
  • 以前,我看到一個朋友在對一個系統做初始化的時候,通過一組魔幻般的按鍵,調出來一個隱藏的系統設置界面,這個界面在常規的菜單或者工具欄是看不到的,因為它是一個後臺設置的關鍵界面,不公開,同時避免常規用戶的誤操作,它是作為一個超級管理員的入口功能,這個是很不錯的思路。其實Winform做這樣的處理也是很容... ...
  • 一:背景 1. 講故事 前些天有位朋友找到我,說他的程式每次關閉時就會自動崩潰,一直找不到原因讓我幫忙看一下怎麼回事,這位朋友應該是第二次找我了,分析了下 dump 還是挺經典的,拿出來給大家分享一下吧。 二:WinDbg 分析 1. 為什麼會崩潰 找崩潰原因比較簡單,用 !analyze -v 命 ...
  • 在一些報表模塊中,需要我們根據用戶操作的名稱,來動態根據人員姓名,更新報表的簽名圖片,也就是電子手寫簽名效果,本篇隨筆介紹一下使用FastReport報表動態更新人員簽名圖片。 ...
  • 最新內容優先發佈於個人博客:小虎技術分享站,隨後逐步搬運到博客園。 創作不易,如果覺得有用請在Github上為博主點亮一顆小星星吧! 博主開始學習編程於11年前,年少時還只會使用cin 和cout ,給單片機點點燈。那時候,類似async/await 和future/promise 模型的認知還不是 ...
  • 之前在阿裡雲ECS 99元/年的活動實例上搭建了一個測試用的MINIO服務,以前都是直接當基礎設施來使用的,這次準備自己學一下S3相容API相關的對象存儲開發,因此有了這個小工具。目前僅包含上傳功能,後續計劃開發一個類似圖床的對象存儲應用。 ...
  • 目錄簡介快速入門安裝 NuGet 包實體類User資料庫類DbFactory增刪改查InsertSelectUpdateDelete總結 簡介 NPoco 是 PetaPoco 的一個分支,具有一些額外的功能,截至現在 github 星數 839。NPoco 中文資料沒多少,我是被博客園群友推薦的, ...
  • 前言 前面使用 Admin.Core 的代碼生成器生成了通用代碼生成器的基礎模塊 分組,模板,項目,項目模型,項目欄位的基礎功能,本篇繼續完善,實現最核心的模板生成功能,並提供生成預覽及代碼文件壓縮下載 準備 首先清楚幾個模塊的關係,如何使用,簡單畫一個流程圖 前面完成了基礎的模板組,模板管理,項目 ...
  • 假設需要實現一個圖標和文本結合的按鈕 ,普通做法是 直接重寫該按鈕的模板; 如果想作為通用的呢? 兩種做法: 附加屬性 自定義控制項 推薦使用附加屬性的形式 第一種:附加屬性 創建Button的附加屬性 ButtonExtensions 1 public static class ButtonExte ...
  • 在C#中,委托是一種引用類型的數據類型,允許我們封裝方法的引用。通過使用委托,我們可以將方法作為參數傳遞給其他方法,或者將多個方法組合在一起,從而實現更靈活的編程模式。委托類似於函數指針,但提供了類型安全和垃圾回收等現代語言特性。 基本概念 定義委托 定義委托需要指定它所代表的方法的原型,包括返回類 ...