使用HMAC进行API身份验证

时间:2015-05-26 17:02:24

标签: authentication hash oauth-2.0 slim hmac

我正在寻找一种合适的身份验证方法,可以在编写一个简单的API时在内部系统中使用。关于Stack Overflow的其他问题已经建议HMAC以及教程的链接,我继续并决定实施。

设置完成后,我意识到我并不确定这对于实际身份验证有多重要。使用Here的教程列出了客户端上的公共哈希,它从未在服务器端代码中使用。它只是将content和privateHash值混合在一起并在服务器上进行比较。由于这一切都是通过标题传递的,我想知道这实际上有多安全?什么是publicHash值,因为它似乎甚至没有被使用?

客户端:

<?php

$publicHash = '3441df0babc2a2dda551d7cd39fb235bc4e09cd1e4556bf261bb49188f548348';
$privateHash = 'e249c439ed7697df2a4b045d97d4b9b7e1854c3ff8dd668c779013653913572e';

$content = json_encode( array( 'test' => 'content' ) );

$hash = hash_hmac('sha256', $content, $privateHash);

$headers = array(
    'X-Public: '.$publicHash,
    'X-Hash: '.$hash
);

$ch = curl_init('http://domain.com/api2/core/device/auth');
curl_setopt($ch,CURLOPT_HTTPHEADER,$headers);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
curl_setopt($ch,CURLOPT_POSTFIELDS,$content);

$result = curl_exec($ch);
curl_close($ch);

echo "RESULT\n======\n".print_r($result, true)."\n\n";

?>

服务器

function auth()
{
    $app = \Slim\Slim::getInstance();

    $request = $app->request();
    $publicHash = $request->headers('X-Public');
    $contentHash = $request->headers('X-Hash');
    $privateHash = 'e249c439ed7697df2a4b045d97d4b9b7e1854c3ff8dd668c779013653913572e';
    $content = $request->getBody();

    $hash = hash_hmac('sha256', $content, $privateHash);

    if ($hash == $combinedHash)
    {
        $data = array('status' => "success");
        response($data);
    }
    else
    {
        $data = array('status' => "failed");
        response($data);
    }
}

1 个答案:

答案 0 :(得分:0)

我认为您发布的文章以令人困惑的方式使用了术语hash。在文章$publicHash中是用户名,$privateHash是用于签署有效负载的密钥。

换句话说,就像文章所说,X-Public标头的值应该用于从数据库查询用户特定的密钥。然后,该密钥用于从有效载荷创建散列。然后将此哈希值与X-Hash标头的值进行比较。

如果值匹配,那么您可以确保有效负载未被篡改和/或有效负载的发送方知道密钥。

这种方法不是无国籍的。它要求您为每个请求命中数据库以找出当前用户的密钥。如果您的客户端不受信任(即启用JavaScript的浏览器),这也有点问题。适用于机器到机器的通信。

替代

您可能需要查看名为Using JSON Web Tokens as API Keys的文章。 JSON Web Tokens提供无状态解决方案。它们也是防篡改证明因为令牌与HMAC签署/散列。