概覽
作業中,我們時刻都會和介面打交道,有的是調取他人的介面,有的是為他人提供介面,在這程序中肯定都離不開簽名驗證,
在設計簽名驗證的時候,一定要滿足以下幾點:
可變性:每次的簽名必須是不一樣的,
時效性:每次請求的時效性,過期作廢,
唯一性:每次的簽名是唯一的,
完整性:能夠對傳入資料進行驗證,防止篡改,
下面主要分享一些作業中常用的加解密的方法,
常用驗證
舉例:/api/login?username=xxx&password=xxx&sign=xxx
發送方和接收方約定一個加密的鹽值,進行生成簽名,
示例代碼:
上面使用到了 MD5 方法,MD5 屬于單向散列加密,
單向散列加密
定義
把任意長的輸入串變化成固定長的輸出串,并且由輸出串難以得到輸入串,這種方法稱為單項散列加密,
常用演算法
MD5
SHA
MAC
CRC
優點
以 MD5 為例,
方便存盤:加密后都是固定大小(32位)的字串,能夠分配固定大小的空間存盤,
損耗低:加密/加密對于性能的損耗微乎其微,
檔案加密:只需要32位字串就能對一個巨大的檔案驗證其完整性,
不可逆:大多數的情況下不可逆,具有良好的安全性,
缺點
存在暴力破解的可能性,最好通過加鹽值的方式提高安全性,
應用場景
用于敏感資料,比如用戶密碼,請求引數,檔案加密等,
推薦密碼的存盤方式
password_hash() 使用足夠強度的單向散列演算法創建密碼的哈希(hash),
示例代碼:
PHP 手冊地址:
http://php.net/manual/zh/function.password-hash.php
對稱加密
定義
同一個密鑰可以同時用作資料的加密和解密,這種方法稱為對稱加密,
常用演算法
DES
AES
AES 是 DES 的升級版,密鑰長度更長,選擇更多,也更靈活,安全性更高,速度更快,
優點
演算法公開、計算量小、加密速度快、加密效率高,
缺點
發送方和接收方必須商定好密鑰,然后使雙方都能保存好密鑰,密鑰管理成為雙方的負擔,
應用場景
相對大一點的資料量或關鍵資料的加密,
AES
AES 加密類別庫在網上很容易找得到,請注意類別庫中的 mcrypt_encrypt 和 mcrypt_decrypt 方法!
在 PHP7.2 版本中已經被棄用了,在新版本中使用 openssl_encrypt 和 openssl_decrypt 兩個方法,
這里我還準備了一分學習圖和資料,如下:
鏈接:https://pan.baidu.com/s/1v5gm7n0L7TGyejCmQrMh2g 提取碼:x2p5
免費分享,但是X度限制嚴重,如若鏈接失效點擊鏈接或搜索加群 群號518475424,
示例代碼(類別庫):
示例代碼:
運行結果:
非對稱加密
定義
需要兩個密鑰來進行加密和解密,這兩個秘鑰分別是公鑰(public key)和私鑰(private key),這種方法稱為非對稱加密,
常用演算法
RSA
優點
與對稱加密相比,安全性更好,加解密需要不同的密鑰,公鑰和私鑰都可進行相互的加解密,
缺點
加密和解密花費時間長、速度慢,只適合對少量資料進行加密,
應用場景
適合于對安全性要求很高的場景,適合加密少量資料,比如支付資料、登錄資料等,
RSA 與 RSA2
演算法名稱 標準名稱 備注
RSA2 SHA256WithRSA 強制要求RSA密鑰的長度至少為2048
RSA SHA1WithRSA 對RSA密鑰的長度不限制,推薦使用2048位以上
RSA2 比 RSA 有更強的安全能力,
螞蟻金服,新浪微博 都在使用 RSA2 演算法,
創建公鑰和私鑰:
openssl genrsa -out private_key.pem 2048
openssl rsa -in private_key.pem -pubout -out public_key.pem
執行上面命令,會生成 private_key.pem 和 public_key.pem 兩個檔案,
示例代碼(類別庫):
示例代碼:
運行結果:
部分資料截圖如下:
JS-RSA
JSEncrypt :用于執行OpenSSL RSA加密、解密和密鑰生成的Javascript庫,
Git源:https://github.com/travist/jsencrypt
應用場景:
我們在做 WEB 的登錄功能時一般是通過 Form 提交或 Ajax 方式提交到服務器進行驗證的,
為了防止抓包,登錄密碼肯定要先進行一次加密(RSA),再提交到服務器進行驗證,
一些大公司都在使用,比如淘寶、京東、新浪 等,
示例代碼就不提供了,Git上提供的代碼是非常完善的,
密鑰安全管理
這些加密技術,能夠達到安全加密效果的前提是 密鑰的保密性,
實際作業中,不同環境的密鑰都應該不同(開發環境、預發布環境、正式環境),
那么,應該如何安全保存密鑰呢?
環境變數
將密鑰設定到環境變數中,每次從環境變數中加載,
配置中心
將密鑰存放到配置中心,統一進行管理,
密鑰過期策略
設定密鑰有效期,比如一個月進行重置一次,
在這里希望大佬提供新的思路 ~
介面除錯工具
Postman
一款功能強大的網頁除錯與發送網頁 HTTP 請求的 Chrome插件,
這個不用多介紹,大家肯定都使用過,
SocketLog
Git源:https://github.com/luofei614/SocketLog
解決的痛點:
正在運行的API有Bug,不能在檔案中使用var_dump進行除錯,因為會影響到client的呼叫,將日志寫到檔案中,查看也不是很方便,
我們在二次開發一個新系統的時候,想查看執行了哪些Sql陳述句及程式的warning,notice等錯誤資訊,
SocketLog,可以解決以上問題,它通過WebSocket將除錯日志輸出到瀏覽器的console中,
使用方法
安裝、配置Chrome插件
SocketLog服務端安裝
PHP中用SocketLog除錯
配置日志型別和相關引數
在線介面檔案
介面開發完畢,需要給請求方提供介面檔案,檔案的撰寫現在大部分都使用Markdown格式,
也有一些開源的系統,可以下載并安裝到自己的服務器上,
也有一些在線的系統,可以在線使用同時也支持離線匯出,
根據自己的情況,選擇適合自己的檔案平臺吧,
常用的介面檔案平臺:
eolinker
Apizza
Yapi
RAP2
DOClever
擴展
一、在 HTTP 和 RPC 的選擇上,可能會有一些疑問,RPC框架配置比較復雜,明明用HTTP能實作為什么要選擇RPC?
下面簡單的介紹下 HTTP 與 RPC 的區別,
傳輸協議:
HTTP 基于 HTTP 協議,
RPC 即可以 HTTP 協議,也可以 TCP 協議,
HTTP 也是 RPC 實作的一種方式,
性能消耗:
HTTP 大部分基于 JSON 實作的,序列化需要時間和性能,
RPC 可以基于二進制進行傳輸,消耗性能少一點,
推薦一個像 JSON ,但比 JSON 傳輸更快占用更少的新型序列化類別庫 MessagePack,
官網地址:https://msgpack.org/
還有一些服務治理、負載均衡配置的區別,
使用場景:
比如瀏覽器介面、APP介面、第三方介面,推薦使用 HTTP,
比如集團內部的服務呼叫,推薦使用 RPC,
RPC 比 HTTP 性能消耗低,傳輸效率高,服務治理也方便,
推薦使用的 RPC 框架:Thrift,
二、動態令牌
簡單介紹下幾種動態令牌,感興趣的可以深入了解下,
OTP:One-Time Password 一次性密碼,
HOTP:HMAC-based One-Time Password 基于HMAC演算法加密的一次性密碼,
TOTP:Time-based One-Time Password 基于時間戳演算法的一次性密碼,
使用場景:
公司VPN登錄雙因素驗證
服務器登錄動態密碼驗證
網銀、網路游戲的物體動態口令牌
銀行轉賬動態密碼
...
小結
本文講了設計簽名驗證需要滿足的一些條件:可變性、時效性、唯一性、完整性,
還講了一些加密方法:單向散列加密、對稱加密、非對稱加密,同時分析了各種加密方法的優缺點,大家可以根據自己的業務特點進行自由選擇,
提供了 Aes、Rsa 相關代碼示例,
分享了可以撰寫介面檔案的在線系統,
分享了開發程序中使用的介面除錯工具,
擴展中分析了 HTTP 和 RPC 的區別,動態令牌的介紹等,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/117787.html
標籤:PHP
上一篇:我眼中的 RPC