PHPackages getonging/webman-api-sign - PHPackages - PHPackages [Skip to content](#main-content)[PHPackages](/)[Directory](/)[Categories](/categories)[Trending](/trending)[Leaderboard](/leaderboard)[Changelog](/changelog)[Analyze](/analyze)[Collections](/collections)[Log in](/login)[Sign up](/register) 1. [Directory](/) 2. / 3. getonging/webman-api-sign ActiveLibrary getonging/webman-api-sign ========================= 基于gitfei1231优化的webman-api-sign 1.0.1(2y ago)115PHP Since Oct 19Pushed 2y ago1 watchersCompare [ Source](https://github.com/getongoing/WebmanApiSign)[ Packagist](https://packagist.org/packages/getonging/webman-api-sign)[ RSS](/packages/getonging-webman-api-sign/feed)WikiDiscussions main Synced 1mo ago READMEChangelog (2)Dependencies (5)Versions (3)Used By (0) webman-api-sign =============== [](#webman-api-sign) 适用于webman项目的api签名,本插件基于 修改,不需要防止重放请求和RSA加密的直接使用原作者的插件即可。 本插件基于 修改, #### 主要修改: [](#主要修改) - 1.重放攻击单独计时 - 2.修改默认中间件为API - 3.优化Redis储存方式 - 4.优化API抛错 **不需要以上修改内容的可以直接使用上述作者的插件。** 安装 == [](#安装) composer require getonging/webman-api-sign 配置 == [](#配置) ``` return [ 'enable' => true, /** * 配置 driver * 数组配置驱动 \Wengg\WebmanApiSign\Driver\ArrayDriver::class * 数据库配置驱动 \Wengg\WebmanApiSign\Driver\DatabaseDriver::class (使用的是 ThinkORM) * 如需要自定义驱动,继承 \Wengg\WebmanApiSign\Driver\BaseDriver::class */ 'driver' => \Wengg\WebmanApiSign\Driver\ArrayDriver::class, 'encrypt' => 'sha256', //加密sign方式 'timeout' => 60, //timestamp超时时间秒,0不限制 'table' => 'app_sign', //表名 /** * 防重放请求是否开启 true只能请求一次,时间是replayTime(秒)内 * replay 主要借助与 replayTime(秒) + noncestr随机值进行验证, 一定的时间内noncestr如果重复,那就判定重放请求 * noncestr 建议生成随机唯一UUID 或者你使用 13位时间戳+18位随机数。1678159075243(13位)+随机数(18位) */ 'replay' => false, 'replayTime' => 60, /** * 如果使用 DatabaseDriver 需要缓存查询后的数据 * 设置缓存时间即可缓存对应的app_id数据 * db_cache_time => null 关闭缓存 */ 'db_cache_time' => 604800, // null 关闭缓存 //字段对照,可从(header,get,post)获取的值 'fields' => [ 'app_id' => 'appId', //app_id 'app_key' => 'appKey', //app_key rsa加密才需要传,appKey为前端随机生成的app_secret秘钥,用于加密sign和报文数据 'timestamp' => 'timestamp', //时间戳 'noncestr' => 'nonceStr', //随机字符串 'signature' => 'signature', //签名字符串 ], //driver为ArrayDriver时生效,对应table 'app_sign' => [ [ 'app_id' => '1661408635', //应用id 'app_secret' => 'D81668E7B3F24F4DAB32E5B88EAE27AC', //应用秘钥 'app_name' => '默认', //应用名称 'status' => 1, //状态:0=禁用,1=启用 'expired_at' => null, //过期时间,例如:2023-01-01 00:00:00,null不限制 'encrypt_body' => 0, //状态:0=禁用,1=启用 算法:aes-128-cbc 是否加密body传入加密后的报文字符串,启用RSA需要使用自动生成的app_secret进行对称加密,否则使用固定的app_secret进行对称加密 'rsa_status' => 0, //状态:0=禁用,1=启用 启用RSA,主要用rsa加密随机生成的app_secret,而不使用固定app_secret /** * sign私钥 RS256加密 */ 'private_key' => setParams(['notSign' => true]); // 此路由经过sign验证 Route::get('/login', [app\api\controller\LoginController::class, 'login'])->setParams(['notSign' => false]); // 此路由经过sign验证 Route::get('/login', [app\api\controller\LoginController::class, 'login']); ``` ``` // 控制器中配置排除sign校验 class TestController { /** * 无需sign校验 * index、save不需要校验 ['index','save'] * 所有方法都不需要sign校验 ['*'] * @var string[] */ protected $noNeedSign = ['login']; /** * 登录 */ public function login() { } } ``` 开启非对称加密 rsa\_status =================== [](#开启非对称加密-rsa_status) 注意:开启后客户端需自行随机动态生成app\_secret(不开启则使用服务端固定的app\_secret),用公钥进行加密app\_secret,服务器端会进行解密出app\_secret, 生成sign进行比对。 > 非对称加密算法为 RSAES-PKCS1-V1\_5 1. app\_secret 客户端自行生成 2. sign使用自动生成的app\_secret按照下面签名算法客户端计算出来 3. 使用公钥加密app\_secret,通过header中的appKey字段进行传输(未开启rsa,此字段不用传) ### php端非对称加密和解密代码例子 [](#php端非对称加密和解密代码例子) ```