Phpcms 的 API 签名验证主要是为了确保请求来自合法客户端,防止接口被恶意调用。签名机制通常基于请求参数和密钥生成一个加密字符串,服务端接收到请求后,按相同规则重新计算签名并比对。
签名生成规则
Phpcms 常见的签名(sign)计算方式如下:
将所有请求参数(包括 timestamp、nonce 等)按参数名进行字典升序排列 拼接成“key=value”的形式,用 & 符号连接,形成待签名字符串 在字符串末尾追加一个预设的通信密钥(secret key) 对整个字符串进行 MD5 或其他指定哈希算法加密 将结果转为小写(或大写)作为最终 sign 值示例:参数:timestamp=1712345678, nonce=abc123, uid=100排序后:nonce=abc123×tamp=1712345678&uid=100密钥:your_secret_key拼接:nonce=abc123×tamp=1712345678&uid=100your_secret_keyMD5 加密 → sign = md5("nonce=abc123×tamp=1712345678&uid=100your_secret_key")
服务端如何验证签名
服务端收到请求后,执行以下步骤校验:
提取请求中的 sign 参数 从请求中获取所有业务参数(排除 sign 本身) 参数名排序,拼接成规范字符串 附加相同的 secret key 后进行 MD5 计算 比较本地生成的 sign 是否与客户端传入的一致 如果不一致,拒绝请求;一致则继续处理
注意:部分版本 Phpcms 可能使用 timestamp 防重放攻击,需校验时间戳是否在允许范围内(如 ±5 分钟内有效)。
立即学习“PHP免费学习笔记(深入)”;
常见问题与建议
确保 secret key 前后端一致且不泄露 空值参数是否参与签名需统一约定 URL 编码可能影响结果,建议统一不做编码或都 urlencode 再拼接 避免 sign 放在 URL 中明文暴露,推荐放在 POST body 或 header 可加入 appid 标识客户端,便于多应用管理密钥基本上就这些,核心是前后端遵循同一套拼接+加密规则。具体实现可参考 Phpcms v9 的 api.model.php 或相关模块源码中的 check_sign 方法。
评论(0)