混淆了API签名的公钥和私钥对

时间:2011-10-13 12:43:44

标签: php encryption ssl

我创建了一个需要使用签名请求进行授权的API。

我正在使用php openssl_sign和openssl_verify函数 我理解公钥和私钥的概念(DSA算法)。但基本上我不知道如何实现它。

我的工作是从http://uk.php.net/manual/en/function.openssl-sign.php

开始的 
<?php
$data = "Beeeeer is really good.. hic...";

// You can get a simple private/public key pair using:
// openssl genrsa 512 >private_key.txt
// openssl rsa -pubout <private_key.txt >public_key.txt

// IMPORTANT: The key pair below is provided for testing only. 
// For security reasons you must get a new key pair
// for production use, obviously.

$private_key = <<<EOD
-----BEGIN RSA PRIVATE KEY----- 
MIIBOgIBAAJBANDiE2+Xi/WnO+s120NiiJhNyIButVu6zxqlVzz0wy2j4kQVUC4Z
RZD80IY+4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQJAL151ZeMKHEU2c1qdRKS9
sTxCcc2pVwoAGVzRccNX16tfmCf8FjxuM3WmLdsPxYoHrwb1LFNxiNk1MXrxjH3R
6QIhAPB7edmcjH4bhMaJBztcbNE1VRCEi/bisAwiPPMq9/2nAiEA3lyc5+f6DEIJ
h1y6BWkdVULDSM+jpi1XiV/DevxuijMCIQCAEPGqHsF+4v7Jj+3HAgh9PU6otj2n
Y79nJtCYmvhoHwIgNDePaS4inApN7omp7WdXyhPZhBmulnGDYvEoGJN66d0CIHra
I2SvDkQ5CmrzkW5qPaE2oO7BSqAhRZxiYpZFb5CI
-----END RSA PRIVATE KEY-----
EOD;
$public_key = <<<EOD
-----BEGIN PUBLIC KEY-----
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANDiE2+Xi/WnO+s120NiiJhNyIButVu6
zxqlVzz0wy2j4kQVUC4ZRZD80IY+4wIiX2YxKBZKGnd2TtPkcJ/ljkUCAwEAAQ==
-----END PUBLIC KEY-----
EOD;

$binary_signature = "";

// At least with PHP 5.2.2 / OpenSSL 0.9.8b (Fedora 7)
// there seems to be no need to call openssl_get_privatekey or similar.
// Just pass the key as defined above
openssl_sign($data, $binary_signature, $private_key, OPENSSL_ALGO_SHA1);

// Check signature
$ok = openssl_verify($data, $binary_signature, $public_key, OPENSSL_ALGO_SHA1);
echo "check #1: ";
if ($ok == 1) {
    echo "signature ok (as it should be)\n";
 } elseif ($ok == 0) {
    echo "bad (there's something wrong)\n";
} else {
    echo "ugly, error checking signature\n";
}

$ok = openssl_verify('tampered'.$data, $binary_signature, $public_key,     OPENSSL_ALGO_SHA1);
echo "check #2: ";
if ($ok == 1) {
    echo "ERROR: Data has been tampered, but signature is still valid! Argh!\n";
} elseif ($ok == 0) {
    echo "bad signature (as it should be, since data has beent tampered)\n";
} else {
    echo "ugly, error checking signature\n";
}
?>

但我很想知道如何将其实现为URI请求。

在http get请求中使用私钥和公钥似乎很大,客户端如何能够生成可由服务器验证的签名?

2 个答案:

答案 0 :(得分:2)

基本上这里有三件事加密:

  1. 公钥的生成和私钥的
  2. 使用私钥1和公钥
    3. 加密数据
  3. 使用公钥和私钥2
    4. 解密数据

    步骤1只发生一次,您可以为两个客户端(或服务器和客户端)生成公钥(或密钥[RSA])和私钥

    在发送数据之前,您需要使用私钥(仅为您知道)和公钥(两者都知道)对数据进行签名,这将创建一个cypertext(或称为摘要),您可以发送此数据对方(其他客户或服务器)。在另一方面,他们用公钥解密cypertext,然后使用他们的私钥来检索实际数据。

    这实际上是使用公共私钥加密 - 解密的基础。

    这些加密和解密的各种版本都可用,维基百科也很有帮助。

答案 1 :(得分:1)

将密钥与您要签名的HTTP get请求一起传输似乎不是一个好主意。

最好将公钥存储在服务器端(例如,在客户端数据库中),并从随请求发送的某个标识符(例如用户名)中查找。

您的请求网址如下所示:

rtp://api.example.com/username=User1&method=XML&product=shoes&size=5&sex=male&signature=x1cvGgtRfJs4FgG

客户端将使用私钥(以及任何DSA实现)来签署请求URL的重要部分。

(私钥永远不应该转移。)

相关问题
最新问题