开发中吗我们经常要与接口打交道,无论是调取别人的接口还是给别人提供接口,如何保障在接口调用时双方数据的安全性和一致性,,这里就涉及到数据加密以及签名验证服务。本文以PHP示例讲解RSA2数据加解密和签名验签功能的实现。
我们在上一篇文章《WEB开发中常见的加密方式有哪些》中介绍了非对称加密RSA2算法,它适合加密少量数据,比如支付数据等安全要求高的场景。
我们首先要生成公钥和私钥文件:
openssl genrsa -out private_key.pem 2048
openssl rsa -in private_key.pem -pubout -out public_key.pem
RSA2加密
我们假设需要将用户支付信息加密后,通过接口提交给后台支付系统。用户客户端使用公钥加密数据,后台支付系统使用私钥解密数据。
$publicKey = '-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRJ6it8Vnl3BUfJok8JYPMkAra
vmjj/cUElcBgp9Ez4hw9rzloqszOye1cyYdkH9EJhp55wwhZl2B6Mx7kahu08wJn
h90j0IVArKUYau9u2hOQ52+VvEAbTYh8LkWfN1gvtcquSVwqKRjmBApo1LTpOooD
FrLRji8oiE7bLXHNgQIDAQAB
-----END PUBLIC KEY-----';
//需要加密的数据
$data = [
'order_id' => 'N2020020212345689232',
'money' => 1000000,
'user_id' => 1982,
'pay_type' => 'alipay',
'pay_time' => 1583213421
];
$publicKey = openssl_pkey_get_public($publicKey); //解析公钥
$rs = openssl_public_encrypt(json_encode($data), $encrypted, $publicKey) ? base64_encode($encrypted) : null;
echo $rs;
我们可以将生成的公钥直接复制粘贴到代码文件中,也可以使用fopen()
打开读取公钥文件。注意使用openssl_public_encrypt()
加密的明文内容不能太长,太长的内容可考虑分段加密或者使用DES等方式加密。
运行后,得到加密后的内容:
A7yj2Yjuc4Y8jhtmz5MdxrMFGhyortBJ53kYQZ8MMNNsjW2rW21a/l4DH247xh0zkPPHHzygGqNIFwuiPFaK2RvubfjZxyqIfNts8RkNXGSTIYCKv6BobI3AWcgF+eyyrhaoTiiCUVwDqNrVoLVZdOPReyK5dOvOPd1nXemhg9Q=
RSA2解密
后台支付系统接收到加密后的内容后,使用私钥解密。
$privateKey = '-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----';
$key = openssl_pkey_get_private($privateKey); //解析私钥
$encrypted = base64_decode($encrypted);
//解密
$mydata = openssl_private_decrypt($encrypted, $decrypted, $key) ? $decrypted : null;
echo $mydata;
运行后就得到解密后的数据:
{"order_id":"N2020020212345689232","money":1000000,"user_id":1982,"pay_type":"alipay","pay_time":1583213421}
RSA2签名
首先我们要了解为什么要进行签名?我们在进行数据请求的时候,为了防止数据被人截取或篡改,造成不好的影响,所以我们在进行数据接口发送与接收的时候,需要进行签名验证。进行签名的原理是:客户端和服务端使用同样的签名算法,来计算签名,当客户端提交的签名,和服务端提供的签名一致的时候,就签名成功。
我们使用RSA2来给客户端数据签名。注意,签名方使用私钥,证明这个签名是从你这个客户端发出去的。当然验签方也就是服务端使用公钥验签。下面的示例中我们还是使用文章开始时生成的公钥和私钥。
//要签名的数据
$data = [
'order_id' => 'N2020020212345689232',
'money' => 1000000,
'user_id' => 1982,
'pay_type' => 'alipay',
'pay_time' => 1583213421
];
$privateKey = openssl_pkey_get_private($privateKey);
$signature = openssl_sign(json_encode($data), $sign, $privateKey, OPENSSL_ALGO_SHA256) ? base64_encode($sign) : null;
echo $signature;
函数openssl_sign()
将支付数据进行了RS2签名,运行后得到签名:
eYg6ss/iOuie8SUikqdTTBmctOatTV+zrw5NGfR33rPJvzSrRRZvC/ynwaS3ZLoX4sUlD0mcF9WEoLwG1IXKeqszkCkY06DejvUZNk4N5Ie49MiBPOgTz2qdWP1Q0bnL2T7c+KqDLn9tk2vzDRUoMW8aPPXuJFiNTYaNf50aty0=
RSA2验签
服务端收到客户端提交的数据和签名后,使用公钥进行签名验证。
//接收客户端的签名
$sign = 'eYg6ss/iOuie8SUikqdTTBmctOatTV+zrw5NGfR33rPJvzSrRRZvC/ynwaS3ZLoX4sUlD0mcF9WEoLwG1IXKeqszkCkY06DejvUZNk4N5Ie49MiBPOgTz2qdWP1Q0bnL2T7c+KqDLn9tk2vzDRUoMW8aPPXuJFiNTYaNf50aty0=';
//接收客户端的原始数据
$data = [
'order_id' => 'N2020020212345689232',
'money' => 1000000,
'user_id' => 1982,
'pay_type' => 'alipay',
'pay_time' => 1583213421
];
$publicKey = openssl_pkey_get_public($publicKey);
$rs = openssl_verify(json_encode($data), base64_decode($sign), $publicKey, OPENSSL_ALGO_SHA256);
var_dump($rs);
if ($rs) {
echo 'ok';
...do something...
} else {
echo 'fail...';
}
上述代码中,为了演示我给$sign
和$data
两个变量赋值,实际上这两项值是从客户端传递过来的,一般是post
提交过来的,这里代码中不做演示了,大家可以自己练习。
运行上述代码后,成功输出“ok”,即验签成功。
以上。