PHP开发API接口签名及验证

<?php

// 设置一个密钥(secret)，只有发送方，和接收方知道

/*----发送方和接收方- start ----*/

$secret = "28c8edde3d61a0411511d3b1866f0636";

/*----发送方和接收方- end ----*/

 

 

/*----发送方待发送数据- start ----*/

// 待发送的数据包

$data = array(

　　'username' => '123@qq.com',

　　'sex' => '1',

　　'age' => '16',

　　'addr' => 'zhongguo',

　　'timestamp' => time(),

);

 

// 获取sign

function getSign($secret, $data) {

　　// 对数组的值按key排序

　　ksort($data);

　　// 生成url的形式

　　$params = http_build_query($data);

　　// 生成sign

　　$sign = md5($params . $secret);

　　return $sign;

}

 

// 发送的数据加上sign

$data['sign'] = getSign($secret, $data);

/*----发送方待发送数据- end ----*/

 

 

 

/*----接收方待处理验证数据- start ----*/

/**

* 后台验证sign是否合法

* @param [type] $secret [description]

* @param [type] $data [description]

* @return [type] [description]

*/

function verifySign($secret, $data) {

　　// 验证参数中是否有签名

　　if (!isset($data['sign']) || !$data['sign']) {

　　　　return '发送的数据签名不存在';

　　}

　　if (!isset($data['timestamp']) || !$data['timestamp']) {

　　　　return '发送的数据参数不合法';

　　}

　　// 验证请求， 10分钟失效

　　if (time() - $data['timestamp'] > 600) {

　　　　return '验证失效， 请重新发送请求';

　　}

　　$sign = $data['sign'];

　　unset($data['sign']);

　　ksort($data);

　　$params = http_build_query($data);

　　// $secret是通过key在api的数据库中查询得到

　　$sign2 = md5($params . $secret);

　　if ($sign == $sign2) {

　　　　return '验证通过';

　　} else {

　　　　return '请求不合法';

　　}

}

/*----接收方待处理验证数据- end ----*/

?>

 

app端获取key 记录key 然后 接口请求带着key数值