在自己的實際工作中，會經常去調用網絡上提供的一些開放性的API,其實自己在之前的公司也有寫過API,但是可能是因為之前公司的項目規模比較小的原因，我們寫的API一般是直接調用就可以可以了，對于API安全這塊基本沒有怎么重視。但是在有一次面試的過程中被問到API的安全問題，因為自己對這塊知之甚少，無疑被虐得很慘，所以就回來研究了一下，雖然網上照的資料都已經寫的非常詳細了，但是自己決定還是自己再記一筆。
對于API安全這塊，我們要考慮三個問題：
1.請求參數是否被篡改;
2.請求來源是否合法;
3.請求是否具有唯一性。

為了保證數據在通信時的安全性，我們可以采用參數簽名的方式來進行相關驗證。

案列分析
我們通過給某 [移動端(app)] 寫 [后臺接口(api)] 的案例進行分析：
客戶端： 以下簡稱app
后臺接口：以下簡稱api
我們通過app查詢產品列表這個操作來進行分析：
app中點擊查詢按鈕->調用api進行查詢->返回查詢結果->顯示在app中

一.不進行驗證的方式

api查詢接口：
app調用：http://api.test.com/getproducts?參數1=value1…….
如上，這種方式簡單粗暴，通過調用getproducts方法即可獲取產品列表信息了，但是 這樣的方式會存在很嚴重的安全性問題，沒有進行任何的驗證，大家都可以通過這個方法獲取到產品列表，導致產品信息泄露。
那么，如何驗證調用者身份呢？如何防止參數被篡改呢？

二.MD5參數簽名的方式

我們對api查詢產品接口進行優化：
1.給app分配對應的key、secret(調用接口的人在在調用的時候就直接把key傳過去，但是secret是不能夠傳遞的，但是需要把key放在我們簽名中加密,然后在后端，我們接到key之后，就去數據庫中查詢對應的secrect,然后再按照之前的簽名算法去生成簽名與傳過來的
簽名進行對比);
2.Sign簽名，調用API 時需要對請求參數進行簽名驗證，簽名方式如下：
a. 按照請求參數名稱將所有請求參數按照字母先后順序排序得到：keyvaluekeyvalue…keyvalue 字符串如：將arong=1,mrong=2,crong=3 排序為：arong=1, crong=3,mrong=2 然后將參數名和參數值進行拼接得到參數字符串：arong1crong3mrong2。
b. 將secret加在參數字符串的頭部后進行MD5加密 ,加密后的字符串需大寫。即得到簽名Sign

新api接口代碼:
app調用：
http://api.test.com/getproductskey=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數1=value1&參數2=value2…….
注：secret 僅作加密使用, 為了保證數據安全請不要在請求參數中使用。

sign生成的PHP函數：

public static function sign($appSecret, $params) {if (!is_array($params)) $params = array();ksort($params);$text = '';foreach ($params as $k => $v) {$text .= $k . $v;}return md5($appSecret . $text); }

如上，優化后的請求多了key和sign參數，這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品數據。這樣就解決了身份驗證和防止參數篡改問題，如果請求參數被人拿走，沒事，他們永遠也拿不到secret,因為secret是不傳遞的。再也無法偽造合法的請求。

但是…這樣就夠了嗎？細心的同學可能會發現，如果我獲取了你完整的鏈接，一直使用你的key和sign和一樣的參數不就可以正常獲取數據了…-_-!是的，僅僅是如上的優化是不夠的

三.請求的唯一性：

為了防止別人重復使用請求參數問題，我們需要保證請求的唯一性，就是對應請求只能使用一次，這樣就算別人拿走了請求的完整鏈接也是無效的。
唯一性的實現：在如上的請求參數中，我們加入時間戳:timestamp（yyyyMMddHHmmss），同樣，時間戳作為請求參數之一，也加入sign算法中進行加密。

新的api接口：
app調用：
http://api.test.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&timestamp=201603261407&參數1=value1&參數2=value2…….
如上，我們通過timestamp時間戳用來驗證請求是否過期。這樣就算被人拿走完整的請求鏈接也是無效的。
Sign簽名安全性分析：
通過上面的案例，我們可以看出，安全的關鍵在于參與簽名的secret，整個過程中secret是不參與通信的，所以只要保證secret不泄露，請求就不會被偽造。

總結
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造，保障通信的安全，這里使用的是MD5進行加密，當然實際使用中大家可以根據實際需求進行自定義簽名算法，比如：RSA，SHA等。

整體思路：
簽名基本原理是通過 key/secret 的實現：
1.服務器負責為每個客戶端生成一對 key/secret （ key/secret 沒有任何關系，不能相互推算），保存，并告知客戶端。
2.當客戶端調用 api 時，根據某種規則將所有請求參數串聯起來并用 secret 生成簽名 sign 。
3.將 sign 和 key 一起放進請求參數對服務器進行調用。（注意 secret 不要傳）
4.服務端收到請求，根據 key 去查 secret ，然后用同樣的算法，驗證簽名。
5.為避免重放攻擊，可加上 timestamp 參數，指明客戶端調用的時間。服務端在驗證請求時若 timestamp 超過允許誤差則直接返回錯誤。

以上，即使第三方知道了你的算法，key 等信息，由于無法捕獲到 secret ，也無法推算，因此是安全的。最好是把 api 布署成 https 的。

參考連接:
http://www.cnblogs.com/codelir/p/5327462.html
http://www.jianshu.com/p/d47da77b6419

總結

以上是生活随笔為你收集整理的API接口签名验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。