参考:https://blog.csdn.net/wanghong7936/article/details/99077633?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-6.not_use_machine_learn_pai&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-6.not_use_machine_learn_pai

因为前后端分离,所以接口必须暴露在公网环境,某些恶意用户会通过浏览器控制台查看接口,然后使用HTTP请求工具调用接口,因为请求工具可以伪造请求头等信息,通过请求头判断是否为恶意请求难度比较大,所以要对参数进行签名。

前端参数签名操作方法

  1. // 1. 传给后端的参数对象,增加时间戳参数
  2. let data = {id: 1, name: 11, channel_id:1, timestamp: 123456789};
  4. // 2. 获取data的key,排序规则按照第一个字符的ASCII码值递增排序
  5. let keys = Object.keys(data).sort()
  7. // 3. 将参数按照一定的规则拼接成字符串
  8. let buff = '';
  9. keys.forEach((key) => {
  10.     buff += key + '=' + data[key] + '&'
  11. })
  12. buff = buff.substr(0, buff.length - 1)
  14. // 4. 加密拼接好的字符串
  15. signature = encrypt(buff);
  17. // 5. 将密文传给后端
  18. data.signature = signature;
  20. /**
  21.  * 加密方法
  22.  * @param buff
  23.  */
  24. function encrypt(buff) {
  25.     // 进入签名加密操作
  26.     return buff;
  27. }

后端签名校验方法

  1. /**
  2.  * 前端参数加密,防开挂校验,防止篡改参数,防止重复调用
  3.  * @param array $params 前端传的所有参数
  4.  * @throws BusinessException
  5.  */
  6. public static function checkSignature(array $params) {
  7.     if (!self::isNotEmpty($params, BasicConstant::SIGNATURE))
  8.         throw new BusinessException('参数错误,缺少签名');
  10.     Log::info('前端参数,排序前: ' . json_encode($params));
  12.     // 1. 参数排序
  13.     ksort($params);
  14.     Log::info('排序后: ' . json_encode($params));
  16.     // 2. 将参数拼接成字符串,除了 signature 签名之外都用 key=value& 的方式拼接
  17.     $buff = '';
  18.     foreach ($params as $k => $v) {
  19.         if ($k != BasicConstant::SIGNATURE) {
  20.             $buff .= $k . "=" . $v . "&";
  21.         }
  22.     }
  23.     // 去除最后一个多余的 &
  24.     $buff = trim($buff, "&");
  25.     Log::info('拼接后: ' . $buff);
  27.     // 3. 将签名放入 redis,如果 redis 中存在此签名,说明重复请求
  28.     $encrypt = self::desEncrypt($buff);
  29.     Log::info('加密后的密文: ' . $encrypt);
  30.     $exists = RedisService::setExNx($encrypt, true, 10);
  31.     if (!$exists)
  32.         throw new BusinessException("非法请求,重复调用");
  34.     // 4. 解密校验参数
  35.     $decrypt = self::desDecrypt($params[BasicConstant::SIGNATURE]);
  36.     Log::info('解密:' . $decrypt);
  38.     // 如果签名解密后与接收到的实际参数不一致,说明参数被篡改
  39.     if ($buff != $decrypt)
  40.         throw new BusinessException('非法请求,参数可能被篡改');
  42.     $decryptParams = self::convertUrlQuery($decrypt);
  43.     Log::info('解密后解析成数组:' . json_encode($decryptParams));
  45.     // 判断是否超时
  46.     if (time() - $decryptParams['timestamp'] > 10)
  47.         throw new BusinessException('签名超时');
  48. }
  50. /**
  51.  * 自定义解密方法
  52.  * @param $string
  53.  * @return string
  54.  */
  55. public static function desEncrypt($string)
  56. {
  57.     return $string;
  58. }
  60. /**
  61.  * 自定义加密方法
  62.  * @param $string
  63.  * @return string
  64.  */
  65. public static function desDecrypt($string)
  66. {
  67.     return $string;
  68. }

这样就能实现接口恶意调用的校验了,如果用户拿参数去重复调用的话会提示重复调用,如果用户修改了参数的话会提示参数被篡改。