通过创建自定义中间件实现 Laravel API 路由签名保护,1. 生成 CheckApiSignature 中间件并编写签名验证逻辑,包含时间戳检查、参数排序拼接、HMAC-SHA256 签名比对;2. 在 Kernel.php 注册中间件;3. 在 api.php 路由中应用中间件;4. 配置 .env 和 app.php 中的 API 密钥;客户端按相同规则生成签名确保请求合法性。
在 Laravel 中为 API 路由添加签名保护,可以通过自定义中间件实现 URL 签名验证,确保请求来自合法来源,防止伪造或重放攻击。Laravel 自带了对 URL 签名的支持(如 signed URLs),但默认主要用于 Web 路由。对于 API 场景,我们需要手动实现或扩展签名验证逻辑。
启用 API 路由签名保护的步骤
以下是为 Laravel API 路由添加签名中间件保护的完整方法:
1. 创建签名中间件
使用 Artisan 命令创建中间件:
php artisan make:middleware CheckApiSignature然后在生成的中间件文件 app/Http/Middleware/CheckApiSignature.php 中编写验证逻辑:
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Support\Str;
class CheckApiSignature
{
public function handle(Request $request, Closure $next)
{
// 定义签名密钥(建议存于 .env)
$secret = config('app.api_secret');
// 获取请求中的时间戳和签名
$timestamp = $request->header('X-Timestamp') ?: $request->get('timestamp');
$signature = $request->header('X-Signature') ?: $request->get('signature');
// 验证必要参数
if (! $timestamp || ! $signature) {
return response()->json(['message' => 'Missing signature parameters'], 401);
}
// 可选:防止重放攻击(例如:时间戳超过5分钟无效)
if (time() - $timestamp > 300) {
return response()->json(['message' => 'Request expired'], 401);
}
// 生成待签名字符串(按参数名排序后拼接)
$data = $request->except(['signature']);
ksort($data);
$signString = http_build_query($data) . '&secret=' . $secret;
// 生成本地签名(可使用 hash_hmac 提高安全性)
$localSignature = hash_hmac('sha256', $signString, $secret);
// 对比签名(使用 hash_equals 防止时序攻击)
if (! hash_equals($localSignature, $signature)) {
return response()->json(['message' => 'Invalid signature'], 401);
}
return $next($request);
}
}2. 注册中间件
将中间件注册到 app/Http/Kernel.php 的 $routeMiddleware 数组中:
protected $routeMiddleware = [
// 其他中间件...
'api.sign' => \App\Http\Middleware\CheckApiSignature::class,
];3. 在 API 路由中使用中间件
在 routes/api.php 中为需要保护的路由添加中间件:
use Illuminate\Http\Request;
Route::middleware(['api.sign'])->group(function () {
Route::get('/secure-data', function () {
return response()->json(['data' => 'This is protected API data']);
});
Route::post('/submit', function (Request $request) {
return response()->json(['message' => 'Data received', 'data' => $request->all()]);
});
});4. 配置签名密钥
在 .env 文件中添加 API 密钥:
API_SECRET=your_strong_secret_key_here并在 config/app.php 中添加读取配置:
'api_secret' => env('API_SECRET', 'default_fallback_secret'),客户端如何生成签名
客户端请求时需按规则生成签名,示例(JavaScript):
const params = {
timestamp: Math.floor(Date.now() / 1000),
user_id: 123,
action: 'get_data'
};
// 按 key 排序并拼接
const sortedKeys = Object.keys(params).sort();
let signString = '';
sortedKeys.forEach(key => {
signString += `${key}=${params[key]}&`;
});
signString += `secret=your_strong_secret_key_here`;
// 使用 HMAC-SHA256 生成签名(前端可用 crypto-js)
const signature = CryptoJS.HmacSHA256(signString, 'your_strong_secret_key_here').toString();
// 发送请求
fetch('/api/secure-data?timestamp='+params.timestamp+'&user_id=123&signature='+signature, {
headers: {
'X-Signature': signature,
'X-Timestamp': params.timestamp
}
});基本上就这些。通过以上方式,你可以为 Laravel API 添加可靠的签名验证机制,提升接口安全性。注意密钥保密、防止重放、使用 HTTPS,并定期轮换密钥。中间件可根据实际需求扩展支持白名单 IP、多应用密钥等。
