答案:Phpcms通过参数排序、拼接密钥并MD5加密生成sign,服务端按相同规则验证签名一致性。具体步骤包括:将请求参数(如timestamp、nonce等)按参数名升序排列,以“key=value”形式用&连接,末尾追加secret key后进行MD5加密,结果转为小写作为sign值;服务端接收请求后,剔除sign参数,对剩余参数执行相同排序、拼接与加密操作,比对生成的sign与客户端传递的sign是否一致,并可校验timestamp时效性防止重放攻击;建议统一处理空值、编码方式及appid标识,确保密钥安全且前后端规则一致,实际代码可参考Phpcms v9的api.model.php中check_sign方法。
Phpcms 的 API 签名验证主要是为了确保请求来自合法客户端,防止接口被恶意调用。签名机制通常基于请求参数和密钥生成一个加密字符串,服务端接收到请求后,按相同规则重新计算签名并比对。
签名生成规则
Phpcms 常见的签名(sign)计算方式如下:
- 将所有请求参数(包括 timestamp、nonce 等)按参数名进行字典升序排列
- 拼接成“key=value”的形式,用 & 符号连接,形成待签名字符串
- 在字符串末尾追加一个预设的通信密钥(secret key)
- 对整个字符串进行 MD5 或其他指定哈希算法加密
- 将结果转为小写(或大写)作为最终 sign 值
参数:timestamp=1712345678, nonce=abc123, uid=100
排序后:nonce=abc123×tamp=1712345678&uid=100
密钥:your_secret_key
拼接:nonce=abc123×tamp=1712345678&uid=100your_secret_key
MD5 加密 → sign = md5("nonce=abc123×tamp=1712345678&uid=100your_secret_key")
服务端如何验证签名
服务端收到请求后,执行以下步骤校验:
- 提取请求中的 sign 参数
- 从请求中获取所有业务参数(排除 sign 本身)
- 参数名排序,拼接成规范字符串
- 附加相同的 secret key 后进行 MD5 计算
- 比较本地生成的 sign 是否与客户端传入的一致
- 如果不一致,拒绝请求;一致则继续处理
注意:部分版本 Phpcms 可能使用 timestamp 防重放攻击,需校验时间戳是否在允许范围内(如 ±5 分钟内有效)。
立即学习“PHP免费学习笔记(深入)”;
常见问题与建议
- 确保 secret key 前后端一致且不泄露
- 空值参数是否参与签名需统一约定
- URL 编码可能影响结果,建议统一不做编码或都 urlencode 再拼接
- 避免 sign 放在 URL 中明文暴露,推荐放在 POST body 或 header
- 可加入 appid 标识客户端,便于多应用管理密钥
