我正在寻找一种合适的身份验证方法,可以在编写一个简单的API时在内部系统中使用。关于Stack Overflow的其他问题已经建议HMAC以及教程的链接,我继续并决定实施。
设置完成后,我意识到我并不确定这对于实际身份验证有多重要。使用Here的教程列出了客户端上的公共哈希,它从未在服务器端代码中使用。它只是将content和privateHash值混合在一起并在服务器上进行比较。由于这一切都是通过标题传递的,我想知道这实际上有多安全?什么是publicHash值,因为它似乎甚至没有被使用?
客户端:
<?php
$publicHash = '3441df0babc2a2dda551d7cd39fb235bc4e09cd1e4556bf261bb49188f548348';
$privateHash = 'e249c439ed7697df2a4b045d97d4b9b7e1854c3ff8dd668c779013653913572e';
$content = json_encode( array( 'test' => 'content' ) );
$hash = hash_hmac('sha256', $content, $privateHash);
$headers = array(
'X-Public: '.$publicHash,
'X-Hash: '.$hash
);
$ch = curl_init('http://domain.com/api2/core/device/auth');
curl_setopt($ch,CURLOPT_HTTPHEADER,$headers);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
curl_setopt($ch,CURLOPT_POSTFIELDS,$content);
$result = curl_exec($ch);
curl_close($ch);
echo "RESULT\n======\n".print_r($result, true)."\n\n";
?>
服务器
function auth()
{
$app = \Slim\Slim::getInstance();
$request = $app->request();
$publicHash = $request->headers('X-Public');
$contentHash = $request->headers('X-Hash');
$privateHash = 'e249c439ed7697df2a4b045d97d4b9b7e1854c3ff8dd668c779013653913572e';
$content = $request->getBody();
$hash = hash_hmac('sha256', $content, $privateHash);
if ($hash == $combinedHash)
{
$data = array('status' => "success");
response($data);
}
else
{
$data = array('status' => "failed");
response($data);
}
}
答案 0 :(得分:0)
我认为您发布的文章以令人困惑的方式使用了术语hash。在文章$publicHash中是用户名,$privateHash是用于签署有效负载的密钥。
换句话说,就像文章所说,X-Public标头的值应该用于从数据库查询用户特定的密钥。然后,该密钥用于从有效载荷创建散列。然后将此哈希值与X-Hash标头的值进行比较。
如果值匹配,那么您可以确保有效负载未被篡改和/或有效负载的发送方知道密钥。
这种方法不是无国籍的。它要求您为每个请求命中数据库以找出当前用户的密钥。如果您的客户端不受信任(即启用JavaScript的浏览器),这也有点问题。适用于机器到机器的通信。
您可能需要查看名为Using JSON Web Tokens as API Keys的文章。 JSON Web Tokens提供无状态解决方案。它们也是防篡改证明因为令牌与HMAC签署/散列。