服务器端数据合法性验证：签名sign和口令token原理

有时候，你也许会想：

我写的接口，那别人要是知道url，并且知道其需要的数据结构和逻辑，那不是都可以访问了？

甚至是，客户点传递过来的数据，是不是被恶意修改了？

这时，我们可能需要“验证”一下。比如：登录验证，只有登录以后才能来到后台。

这里给出几种【验证】方式，大神勿喷：

1：sign验证法：

这种验证方式，一般过程是：

第一：给你一个【私钥】[app_secret] 和[app_id]

第二：你要提交的所有数据都需要提供sign签名。

第三：sign签名的获取方式。

例如：给用户id为99的人增加100积分：

$app_id = 'Te001';$secret = 'e10adc3949ba59abbe56e057f20f883e';$url = 'http://127.0.0.1/test/apiDataCheck';$post = array(    'user_id' => 99,    'point' => 100);function addSign($url, $data){    $str = '';    $data['app_id'] = $app_id;    ksort($data);    foreach($data as $k => $v){        $str .= $k.'='.$v.'&';    }    $str = substring($str, 0, -1);    $str = $url.'?'.$str.$secret;    $data['sign'] = md5($str);    return $data;}curl_post($url, addSign($post));

addSign 就是一个sign的获取方式：所有数据加上app_id，字段顺序排序，以get参数方式连接。然后url+?+get参数+私钥，进行md5加密获取sign签名。进而进行接口调用。

第四：服务器端验证数据合法性。

$url = 'http://127.0.0.1/test/apiDataCheck';$app_secret = 'select app_secret from app_id_secret where app_id='.intval($_POST['app_id']);function checkSign($url, $post){    $str = '';    $sign = $post['sign'];    unset($post['sign']);    foreach($post as $k => $v){        $str .= $k.'='.$v.'&';    }    $str = substring($str, 0, -1);    $str = $url.'?'.$str.$app_secret;    return $sign == md5($str);}if($app_secret && checkSign($url, $_POST)){    $res = 'update user_point set point=point+100 where user_id='.$_POST['user_id'];}

接口在操作数据之前，首先按照原本既定的sign生成方式，验证sign合法性，进而进行下一步操作。

很多第三方的接口都存在这样的一个签名验证，如：美团外卖和微信等。但其原理大同小异。

2：token法：

token法的步骤大概是：

1：给你一个app_id和app_secret。

2：提供一个利用app_id和app_secret获取token的接口。

3：token的时效性设定。

4：获取token接口的使用次数限制。

1：获取token$app_id = 'Token001';$app_secret = 'e10adc3949ba59abbe56e057f20f883e';$url = 'http://127.0.0.1/token/getToken?app_id='.$app_ip.'&app_secret='.$app_secret;$token = curl_get($url);// $token = array(//     'token' => 'e10adc3949ba59abbe56e057f20f883e',//     'expire' => '1444444400'// );session('token', $token['token']);session('expire', $token['expire']);2：接口调用$url = 'http://127.0.0.1/token/getUserInfo';$post['user_id'] = 1;if(time() < session('expire')){    $post['user_id'] = 1;    $post['token'] = session('token');}else{    步骤1：}$userInfo = curl_post($post);

5：服务器验证token：

1：生成token并返回define('EXPIRE', 3600);$post = array(    $app_id = 'Token001';    $app_secret = 'e10adc3949ba59abbe56e057f20f883e';);$tcount = 'select count(*) from app_token where app_id='.$post['app_id'];if($tcount >= 50){    // app_id 获取token次数太多}else{    $token['token'] = md5($post['app_id'].time().$post['app_secret'].EXPIRE);    $token['expire'] = time()+EXPIRE;    $insert = 'insert into app_token value(null, '.$post['app_id'].', '.$token['token'].');';}2：接口验证token$post = array(    $user_id = 1;    $token = 'e10adc3949ba59abbe56e057f20f883e';);$token = 'select token from app_token where app_id='.$post['app_id'].' order by id desc limit 1';if($token == $post['token']){    return 'select * from user where user_id='.$post['user_id'];}else{    // token 错误}

token的生成办法可以自由设定，token的获取次数和过期时间都可以加进去。上例只是说明下原理和思路。