phpapi接口加密方式,php 接口加密

本文目錄一覽：

• 1、php如何開發API接口
• 2、PHP 的API接口
• 3、php如何調用api接口，主要是php調用聯通，移動api進行短訊的發送？
• 4、php代碼怎麼加密最好，不能破解的那種
• 5、PHP API接口怎麼控制權限
• 6、php開發api接口,如何做才算是安全的

php如何開發API接口

比如一個自定義函數：function test(){echo 『hello world』;}就可以叫做 api。api 既可以是單個的函數，也可以是封裝在類里的方法，當然它們也是程序代碼。開發一個 api 的流程可以很簡單，也可以很複雜，視具體的編程任務而決定，並沒有特定的規則。比如，你需要為自己建立一個常用的函數庫，命名為 my.lib.php然後把你自己編寫的自定義函數，全部寫在這個文件裏面，那麼，你就擁有了自己的api。開發的時候，只需要引入 my.lib.php，你就可以調用自己的 api 了。這是一個比較簡單的例子。稍微複雜一點的，你可以把函數封裝在類裏面，方便繼承和重用，還可以根據函數名稱做一些程序設計，這個一句話說不清楚，給一個簡單的例子吧：class mylib{function showmy(){echo 『這是我的一個類方法』;}}調用的時候，先要實例化類，然後再調用方法。再複雜一點的就是使用類接口，區別就是接口裏面定義的只是方法原型，而你需要通過具體的類來實現接口中的函數，具體請參考 php 手冊

PHP 的API接口

使用PHP寫api接口是經常做的，PHP寫好接口後，前台就可以通過鏈接獲取接口提供的數據，而返回的數據一般分為兩種情況，xml和json,在這個過程中，服務器並不知道，請求的來源是什麼，有可能是別人非法調用我們的接口，獲取數據，因此就要使用安全驗證

原理

從圖中可以看得很清楚，前台想要調用接口，需要使用幾個參數生成簽名。

時間戳：當前時間

隨機數：隨機生成的隨機數

口令：前後台開發時，一個雙方都知道的標識，相當於暗號

算法規則：商定好的運算規則，上面三個參數可以利用算法規則生成一個簽名。前台生成一個簽名，當需要訪問接口的時候，把時間戳，隨機數，簽名通過URL傳遞到後台。後台拿到時間戳，隨機數後，通過一樣的算法規則計算出簽名，然後和傳遞過來的簽名進行對比，一樣的話，返回數據。

算法規則

在前後台交互中，算法規則是非常重要的，前後台都要通過算法規則計算出簽名，至於規則怎麼制定，看你怎麼高興怎麼來。

我這個算法規則是

時間戳，隨機數，口令按照首字母大小寫順序排序

然後拼接成字符串

進行sha1加密

再進行MD5加密

轉換成大寫。

php如何調用api接口，主要是php調用聯通，移動api進行短訊的發送？

你沒法調移動。聯通api的，如果要進行短訊發送，可以去找短訊接口，一般去運營商購買，然後他們提供api。然後用php對接即可，很簡單，比如下面使用的就是某家的api發送：

$this-content = 「發送內容」;

$this-name = “短訊賬號”;

$this-pwd= “短訊密碼”;

$this-mobile = “發送的手機號”;

$argv = array(

‘name’=$this-name, //必填參數。用戶賬號

‘pwd’=$this-pwd, //必填參數。（web平台：基本資料中的接口密碼）

‘content’=$this-content, //必填參數。發送內容（1-500 個漢字）UTF-8編碼

‘mobile’=$this-mobile, //必填參數。手機號碼。多個以英文逗號隔開

‘stime’=”, //可選參數。發送時間，填寫時已填寫的時間發送，不填時為當前時間發送

‘sign’=$this-sign, //必填參數。用戶簽名。

‘type’=$this-type, //必填參數。固定值 pt

‘extno’=$this-extno //可選參數，擴展碼，用戶定義擴展碼，只能為數字

);

//構造要post的字符串

foreach ($argv as $key=$value) {

if ($flag!=0) {

$params .= “”;

$flag = 1;

}

$params.= $key.”=”;

$params.= urlencode($value);

$flag = 1;

}

$url = “?”.$params; //提交的url

$resultUrl = file_get_contents($url);//獲取發送狀態

php代碼怎麼加密最好，不能破解的那種

在使用PHP開發Web應用的中，很多的應用都會要求用戶註冊，而註冊的時候就需要我們對用戶的信息進行處理了，最常見的莫過於就是郵箱和密碼了，本文意在討論對密碼的處理：也就是對密碼的加密處理。

MD5

相信很多PHP開發者在最先接觸PHP的時候，處理密碼的首選加密函數可能就是MD5了，我當時就是這樣的：

$password = md5($_POST[“password”]);

上面這段代碼是不是很熟悉？然而MD5的加密方式目前在PHP的江湖中貌似不太受歡迎了，因為它的加密算法實在是顯得有點簡單了，而且很多破解密碼的站點都存放了很多經過MD5加密的密碼字符串，所以這裡我是非常不提倡還在單單使用MD5來加密用戶的密碼的。

SHA256 和 SHA512

其實跟前面的MD5同期的還有一個SHA1加密方式的，不過也是算法比較簡單，所以這裡就一筆帶過吧。而這裡即將要說到的SHA256 和 SHA512都是來自於SHA2家族的加密函數，看名字可能你就猜的出來了，這兩個加密方式分別生成256和512比特長度的hash字串。

他們的使用方法如下：

?php

$password = hash(“sha256”, $password);

PHP內置了hash()函數，你只需要將加密方式傳給hash()函數就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。

鹽值

在加密的過程，我們還有一個非常常見的小夥伴：鹽值。對，我們在加密的時候其實會給加密的字符串添加一個額外的字符串，以達到提高一定安全的目的：

?php

function generateHashWithSalt($password) {$intermediateSalt = md5(uniqid(rand(), true));$salt = substr($intermediateSalt, 0, 6);

return hash(“sha256”, $password . $salt);}

Bcrypt

如果讓我來建議一種加密方式的話，Bcrypt可能是我給你推薦的最低要求了，因為我會強烈推薦你後面會說到的Hashing API，不過Bcrypt也不失為一種比較不錯的加密方式了。

?php

function generateHash($password) {

if (defined(“CRYPT_BLOWFISH”) CRYPT_BLOWFISH) {$salt = ‘$2y$11$’ . substr(md5(uniqid(rand(), true)), 0, 22);return crypt($password, $salt);

}

}

Bcrypt 其實就是Blowfish和crypt()函數的結合，我們這裡通過CRYPT_BLOWFISH判斷Blowfish是否可用，然後像上面一樣生成一個鹽值，不過這裡需要注意的是，crypt()的鹽值必須以$2a$或者$2y$開頭，詳細資料可以參考下面的鏈接：

更多資料可以看這裡：

Hashing API

這裡才是我們的重頭戲，Password Hashing API是PHP 5.5之後才有的新特性，它主要是提供下面幾個函數供我們使用：

password_hash() – 對密碼加密.

password_verify() – 驗證已經加密的密碼，檢驗其hash字串是否一致.

password_needs_rehash() – 給密碼重新加密.

password_get_info() – 返回加密算法的名稱和一些相關信息.

雖然說crypt()函數在使用上已足夠，但是password_hash()不僅可以使我們的代碼更加簡短，而且還在安全方面給了我們更好的保障，所以，現在PHP的官方都是推薦這種方式來加密用戶的密碼，很多流行的框架比如Laravel就是用的這種加密方式。

?php

$hash = password_hash($passwod, PASSWORD_DEFAULT);對，就是這麼簡單，一行代碼，All done。

PASSWORD_DEFAULT目前使用的就是Bcrypt，所以在上面我會說推薦這個，不過因為Password Hashing API做得更好了，我必須鄭重地想你推薦Password Hashing API。這裡需要注意的是，如果你代碼使用的都是PASSWORD_DEFAULT加密方式，那麼在數據庫的表中，password字段就得設置超過60個字符長度，你也可以使用PASSWORD_BCRYPT，這個時候，加密後字串總是60個字符長度。

這裡使用password_hash()你完全可以不提供鹽值(salt)和 消耗值 (cost)，你可以將後者理解為一種性能的消耗值，cost越大，加密算法越複雜，消耗的內存也就越大。當然，如果你需要指定對應的鹽值和消耗值，你可以這樣寫：

?php

$options = [

‘salt’ = custom_function_for_salt(), //write your own code to generate a suitable salt’cost’ = 12 // the default cost is 10

];

$hash = password_hash($password, PASSWORD_DEFAULT, $options);密碼加密過後，我們需要對密碼進行驗證，以此來判斷用戶輸入的密碼是否正確：

?php

if (password_verify($password, $hash)) {

// Pass

}

else {

// Invalid

}

很簡單的吧，直接使用password_verify就可以對我們之前加密過的字符串（存在數據庫中）進行驗證了。

然而，如果有時候我們需要更改我們的加密方式，如某一天我們突然想更換一下鹽值或者提高一下消耗值，我們這時候就要使用到password_needs_rehash()函數了：

?php

if (password_needs_rehash($hash, PASSWORD_DEFAULT, [‘cost’ = 12])) {// cost change to 12

$hash = password_hash($password, PASSWORD_DEFAULT, [‘cost’ = 12]);// don’t forget to store the new hash!

}

只有這樣，PHP的Password Hashing API才會知道我們重現更換了加密方式，這樣的主要目的就是為了後面的密碼驗證。

簡單地說一下password_get_info()，這個函數一般可以看到下面三個信息：

algo – 算法實例

algoName – 算法名字

options – 加密時候的可選參數

所以，現在就開始用PHP 5.5吧，別再糾結低版本了。

Happy Hacking

PHP API接口怎麼控制權限

你好，控制權限主要和是否登陸，以及登陸用戶的自身權限有關，但因為API接口不能使用session所以你需要使用其他的信息進行代替。

我的建議是在app移動端發送登陸請求時，你就可以生產登陸後的Token信息。Token信息需要你根據用戶編號進行加密處理，然後移動端保存，在每次做其他請求時，連同Token一起發送過來，你再判斷是否存在Token，然後解密Token獲取用戶編號，再通過用戶編號判斷是否有相應權限。

php開發api接口,如何做才算是安全的

這個問題很深

安全，不敢當，因為web安全問題很多，不僅僅是PHP編碼而已，有很多安全上的問題需要做處理，像服務器漏洞、端口開放都會導致被黑，這都是很正常的。

只能說 比如在我做PHP開發過程的一些安全保護和在網絡安全公司開發時的工作要求：

1、最基礎的，提供的api接口 要配置https。

2、api返迴響應的信息，要儘可能使用消息加密返回，如高位數的 rsa加密內容。

3、接收的回調開放接口，儘可能做到使用回調黑、白名單，如加ip白名單放行，或ip黑名單禁止訪問。

4、不要相信用戶輸入、輸入信息要進行編碼轉換、轉義、過濾、使用框架和插件進行處理，如MySQL查詢的要進行參數綁定、如顯示問題要避免xss攻擊會進行過濾。

5、授權操作，錯誤限制設置閥值、超過閥值限制訪問、如最基礎的登錄功能。

6、常見額弱口令問題導致漏銅，應設置高強度口令，避免程序爆破。

7、文件上傳問題、應嚴格校驗文件類型、後綴、格式、及文件目錄權限設置，從而避免文件上傳漏洞導致惡意代碼或webshell攻擊。

8、開發環境和生產環境隔開，不要再生產上面開debug、及時更新使用框架漏洞補丁如PHP國內常用 tp系列以前偶爾爆出漏洞（我用的較多就是tp5 ….），還有框架不要用最新要選擇最穩定的。

最後注意不管是驗證還是過濾，在客戶端執行過一次也好，在服務端，都要再次執行驗證和校驗。

和盛之文  我的文章保存網站，歡迎訪問學習或參考