研究pbootcms在使用api接口获取数据时,是怎么验证请求合法性的
1、判断网站后台的api功能是否开启
if (! isset($config['api_open']) || ! $config['api_open']) {
json(0, '系统尚未开启API功能,请到后台配置');
}2、需要判断api的强制验证是否开启了
if ($config['api_auth']) {
...
}3、判断网站后台的填写的api认证用户+api认证秘钥是否填写了
// 判断用户
if (! $config['api_appid']) {
json(0, '请求失败:管理后台接口认证用户配置有误');
}
// 判断密钥
if (! $config['api_secret']) {
json(0, '请求失败:管理后台接口认证密钥配置有误');
}4、判断用户请求api时是否携带认证的参数
// 获取参数
if (! $appid = request('appid')) {
json(0, '请求失败:未检查到appid参数');
}
if (! $timestamp = request('timestamp')) {
json(0, '请求失败:未检查到timestamp参数');
}
if (! $signature = request('signature')) {
json(0, '请求失败:未检查到signature参数');
}5、验证用户请求api时携带的参数是否合法
// 验证时间戳
if (strpos($_SERVER['HTTP_REFERER'], get_http_url()) === false && time() - $timestamp > 15) { // 请求时间戳认证,不得超过15秒
json(0, '请求失败:接口时间戳验证失败!');
}
// 验证签名
if ($signature != md5(md5($config['api_appid'] . $config['api_secret'] . $timestamp))) {
error('请求失败:接口签名信息错误!');
}至此验证通过后就可以等待服务器返回数据了
以下是完整代码
/**
* 客户端发起请求必须包含appid、timestamp、signature三个参数;
* signature通过appid、secret、timestamp连接为一个字符串,然后进行双层md5加密生成;
*/
public static function checkAccess($config)
{
if (! isset($config['api_open']) || ! $config['api_open']) {
json(0, '系统尚未开启API功能,请到后台配置');
}
// 验证总开关
if ($config['api_auth']) {
// 判断用户
if (! $config['api_appid']) {
json(0, '请求失败:管理后台接口认证用户配置有误');
}
// 判断密钥
if (! $config['api_secret']) {
json(0, '请求失败:管理后台接口认证密钥配置有误');
}
// 获取参数
if (! $appid = request('appid')) {
json(0, '请求失败:未检查到appid参数');
}
if (! $timestamp = request('timestamp')) {
json(0, '请求失败:未检查到timestamp参数');
}
if (! $signature = request('signature')) {
json(0, '请求失败:未检查到signature参数');
}
// 验证时间戳
if (strpos($_SERVER['HTTP_REFERER'], get_http_url()) === false && time() - $timestamp > 15) { // 请求时间戳认证,不得超过15秒
json(0, '请求失败:接口时间戳验证失败!');
}
// 验证签名
if ($signature != md5(md5($config['api_appid'] . $config['api_secret'] . $timestamp))) {
error('请求失败:接口签名信息错误!');
}
}
}
