我创建了一个API,需要使用签名请求进行授权。
我正在使用php openssl_sign和openssl_verify函数。
我了解公钥和私钥(DSA算法)的概念。但基本上我不知道如何实现它。
我从这个例子工作从http://uk.php.net/manual/en/function.openssl-sign.php
<?php
$data = "Beeeeer is really good.. hic...";
// You can get a simple private/public key pair using:
// openssl genrsa 512 >private_key.txt
// openssl rsa -pubout <private_key.txt >public_key.txt
// IMPORTANT: The key pair below is provided for testing only.
// For security reasons you must get a new key pair
// for production use, obviously.
$private_key = <<<EOD
-----BEGIN RSA PRIVATE KEY-----
MIIBOgIBAAJBANDiE2+Xi/WnO+s120NiiJhNyIButVu6zxqlVzz0wy2j4kQVUC4Z
RZD80IY+4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQJAL151ZeMKHEU2c1qdRKS9
sTxCcc2pVwoAGVzRccNX16tfmCf8FjxuM3WmLdsPxYoHrwb1LFNxiNk1MXrxjH3R
6QIhAPB7edmcjH4bhMaJBztcbNE1VRCEi/bisAwiPPMq9/2nAiEA3lyc5+f6DEIJ
h1y6BWkdVULDSM+jpi1XiV/DevxuijMCIQCAEPGqHsF+4v7Jj+3HAgh9PU6otj2n
Y79nJtCYmvhoHwIgNDePaS4inApN7omp7WdXyhPZhBmulnGDYvEoGJN66d0CIHra
I2SvDkQ5CmrzkW5qPaE2oO7BSqAhRZxiYpZFb5CI
-----END RSA PRIVATE KEY-----
EOD;
$public_key = <<<EOD
-----BEGIN PUBLIC KEY-----
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANDiE2+Xi/WnO+s120NiiJhNyIButVu6
zxqlVzz0wy2j4kQVUC4ZRZD80IY+4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQ==
-----END PUBLIC KEY-----
EOD;
$binary_signature = "";
// At least with PHP 5.2.2 / OpenSSL 0.9.8b (Fedora 7)
// there seems to be no need to call openssl_get_privatekey or similar.
// Just pass the key as defined above
openssl_sign($data, $binary_signature, $private_key, OPENSSL_ALGO_SHA1);
// Check signature
$ok = openssl_verify($data, $binary_signature, $public_key, OPENSSL_ALGO_SHA1);
echo "check #1: ";
if ($ok == 1) {
echo "signature ok (as it should be)'n";
} elseif ($ok == 0) {
echo "bad (there's something wrong)'n";
} else {
echo "ugly, error checking signature'n";
}
$ok = openssl_verify('tampered'.$data, $binary_signature, $public_key, OPENSSL_ALGO_SHA1);
echo "check #2: ";
if ($ok == 1) {
echo "ERROR: Data has been tampered, but signature is still valid! Argh!'n";
} elseif ($ok == 0) {
echo "bad signature (as it should be, since data has beent tampered)'n";
} else {
echo "ugly, error checking signature'n";
}
?>
但我很难理解这是如何实现到一个URI请求。
私钥和公钥在http get请求中使用似乎相当大,客户端如何能够生成可以由服务器验证的签名?加密基本上有三件事:
- 生成公钥和私钥对
- 用私钥1和公钥 加密数据
- 使用公钥和私钥2解密数据
步骤1只发生一次,您可以为两个客户端(或服务器和客户端)生成公钥(或密钥[RSA])和私钥
在您发送数据之前,您需要使用您的私钥(仅您知道)和公钥(两者都知道)对数据进行签名,这将创建一个密文(或称为摘要),您可以将其发送给对方(其他客户端或服务器)。在另一边,他们用公钥解密密文,然后用私钥检索实际数据。
这实际上是使用公私钥加密-解密的基础。
这些加密和解密的不同版本是可用的,做一个维基百科将是有帮助的。
将密钥与您想要签名的HTTP get请求一起传输似乎不是一个好主意。
最好已经将公钥存储在服务器端(例如,在客户端数据库中),并从与请求一起发送的某些标识符(例如用户名)中查找它。
你的请求URL看起来像这样:
rtp://api.example.com/username=User1&method=XML&product=shoes&size=5&sex=male&signature=x1cvGgtRfJs4FgG
客户端将使用私钥(和任何DSA实现)对请求URL的重要部分进行签名。
(私钥永远不应该被转移)