这篇文章主要为大家详细介绍了php如何通过在header增加key,sign,timestamp来实现鉴权,文中的示例代码讲解详细,需要的小伙伴可以参考下。

一、要在PHP中的header中增加key、sign和timestamp，并实现鉴权

可以按照以下步骤进行操作：

生成timestamp：使用time()函数获取当前时间戳。

生成sign：将需要鉴权的数据（例如请求参数）按照一定规则进行拼接，并使用密钥进行加密，生成sign。具体的拼接规则和加密方法可以根据实际需求选择，常见的有md5、sha1、HMAC等。例如：

1. $params = $_GET; // 假设请求参数在GET中 
2. $key = 'your_secret_key'; // 替换为实际的密钥 
3. ksort($params); // 对参数按照键名进行排序 
4. $signStr = ''; 
5. foreach ($params as $k => $v) { 
6.     $signStr .= "{$k}={$v}&"; 
7. } 
8. $signStr .= "timestamp={$timestamp}&key={$key}"; // 拼接需要加密的字符串 
9. $sign = md5($signStr); // 使用md5加密生成sign 

添加header：使用header()函数将生成的key、sign和timestamp添加到请求的header中。例如：

header('X-Auth-Key: your_key');

header('X-Auth-Sign: ' . $sign);

header('X-Auth-Timestamp: ' . $timestamp);

服务端鉴权：在服务端接收到请求后，获取请求header中的key、sign和timestamp，然后根据同样的规则和密钥进行签名验证。验证的过程与生成sign的过程类似，将接收到的参数按照规则拼接，并使用密钥进行加密，然后与接收到的sign进行比对，如果一致则鉴权通过。

请注意，以上示例仅为演示目的，实际应用中需要根据具体情况进行调整和加强安全性措施，例如使用HTTPS传输等。

二、完整案例

以下是一个示例的完整代码，用于在PHP中实现鉴权并在header中添加key、sign和timestamp：

1. <?php 
2. function generateSign($params, $timestamp, $key) 
3. { 
4.     ksort($params); // 对参数按照键名进行排序 
5.     $signStr = ''; 
6.     foreach ($params as $k => $v) { 
7.         $signStr .= "{$k}={$v}&"; 
8.     } 
9.     $signStr .= "timestamp={$timestamp}&key={$key}"; // 拼接需要加密的字符串 
10.     $sign = md5($signStr); // 使用md5加密生成sign 
11.     return $sign; 
12. } 
13.  
14. function addAuthHeaders($key, $sign, $timestamp) 
15. { 
16.     header('X-Auth-Key: ' . $key); 
17.     header('X-Auth-Sign: ' . $sign); 
18.     header('X-Auth-Timestamp: ' . $timestamp); 
19. } 
20.  
21. // 假设请求参数在GET中 
22. $params = $_GET; 
23. $key = 'your_secret_key'; // 替换为实际的密钥 
24. $timestamp = time(); // 获取当前时间戳 
25.  
26. $sign = generateSign($params, $timestamp, $key); 
27. addAuthHeaders($key, $sign, $timestamp); 
28.  
29. // 其他业务逻辑 
30. // ... 
31. ?> 

下面用于在服务端验证鉴权：

1. <?php 
2. function verifySign($params, $timestamp, $key, $receivedSign) 
3. { 
4.     ksort($params); // 对参数按照键名进行排序 
5.     $signStr = ''; 
6.     foreach ($params as $k => $v) { 
7.         $signStr .= "{$k}={$v}&"; 
8.     } 
9.     $signStr .= "timestamp={$timestamp}&key={$key}"; // 拼接需要加密的字符串 
10.     $sign = md5($signStr); // 使用md5加密生成sign 
11.     return $sign === $receivedSign; 
12. } 
13.  
14. // 假设接收到的请求header中有以下三个值 
15. $receivedKey = $_SERVER['HTTP_X_AUTH_KEY']; 
16. $receivedSign = $_SERVER['HTTP_X_AUTH_SIGN']; 
17. $receivedTimestamp = $_SERVER['HTTP_X_AUTH_TIMESTAMP']; 
18.  
19. $key = 'your_secret_key'; // 替换为实际的密钥 
20.  
21. // 假设请求参数在GET中 
22. $params = $_GET; 
23.  
24. if (verifySign($params, $receivedTimestamp, $key, $receivedSign)) { 
25.     echo '鉴权通过'; 
26.     // 鉴权通过，继续处理业务逻辑 
27.     // ... 
28. } else { 
29.     echo '鉴权失败'; 
30.     // 鉴权失败，可以返回错误信息或进行其他处理 
31. } 
32. ?> 

在上述代码中，我们创建了一个verifySign()函数，用于验证接收到的sign是否与生成的sign一致。

你需要将your_secret_key替换为实际的密钥。

在验证鉴权时，我们从请求header中获取接收到的key、sign和timestamp，并将其与请求参数一起传递给verifySign()函数进行验证。如果验证通过，则可以继续处理业务逻辑；如果验证失败，则可以返回错误信息或进行其他处理。

请注意，以上代码仅提供了一个基本的鉴权验证示例，实际应用中还需要根据具体的业务逻辑和参数进行调整，并考虑其他安全性和细节方面的处理。

Tags: PHP鉴权示例代码

分享到：