当前位置：首页 > news >正文

php加密验签

news 2025/7/6 11:06:09

签名生成步骤（小程序端/前端）：

确定参与签名的参数：选择需要参与签名的请求参数，通常包括请求的时间戳、随机数、请求的数据等。
参数排序与拼接：将所有参与签名的参数按照字母顺序排序，并拼接成一个待签名的字符串。
生成签名：使用 HMAC 算法（如 HMAC-SHA256）和预设的密钥对拼接后的字符串进行签名。HMAC 需要一个密钥和一个消息作为输入，生成一个固定长度的哈希值作为输出。
发送请求：将签名和其他请求参数一起发送给服务器。

在小程序中，如果你需要进行 HMAC 加密（通常与某个哈希函数如 SHA256 结合使用），你可以使用小程序提供的 JavaScript 运行时环境来实现。但是，小程序标准库并不直接提供 HMAC 加密函数，因此你需要使用现成的 JavaScript 库，或者自己实现 HMAC 算法。

这里有一个使用 JavaScript（可以在小程序中运行）和 CryptoJS 库（需要你自己引入）来实现 HMAC-SHA256 加密的示例：

首先，你需要将 CryptoJS 库添加到你的小程序项目中。你可以通过 npm 安装它（虽然小程序原生不支持 npm，但你可以将 npm 包转换为小程序支持的格式），或者手动下载并添加到项目中。
然后，你可以使用以下代码进行 HMAC-SHA256 加密：

// 假设你已经以某种方式引入了 CryptoJS 库  
// 例如，通过 require 或 import（如果小程序支持）  
// var CryptoJS = require('path/to/crypto-js'); // 小程序可能不支持 require，所以你需要其他方式引入  // 示例：使用 CryptoJS 进行 HMAC-SHA256 加密  
function hmacSha256(message, secret) {  // CryptoJS.HmacSHA256 需要两个参数：要加密的消息和密钥  var hash = CryptoJS.HmacSHA256(message, secret);  // toString() 方法将加密结果转换为十六进制字符串  return hash.toString(CryptoJS.enc.Hex);  
}  // 使用示例  
var message = 'The quick brown fox jumps over the lazy dog'; // 要加密的消息  
var secret = 'my-secret-key'; // 密钥  
var encrypted = hmacSha256(message, secret);  
console.log(encrypted); // 输出加密后的十六进制字符串

注意：由于小程序环境可能限制了对外部库的引入和使用，因此你可能需要找到一种方法来将 CryptoJS 或其他加密库打包成小程序可以使用的格式。这通常涉及到使用工具（如 webpack 或其他打包器）来转换库，并手动将其添加到你的小程序项目中。

如果你不想使用外部库，你也可以查找 HMAC-SHA256 的纯 JavaScript 实现，并将其包含在你的小程序代码中。但是，请注意，实现加密算法时要格外小心，以确保它们的安全性和正确性。

签名验证步骤（PHP 后台）：

接收请求参数：从请求中获取所有参与签名的参数以及签名值。
参数排序与拼接：使用与小程序端相同的规则，对接收到的参数进行排序并拼接成待验证的字符串。
验证签名：使用相同的 HMAC 算法和密钥，对待验证的字符串进行哈希计算，生成一个本地的签名值。
比较签名：将生成的本地签名值与请求中携带的签名值进行比较。
判断结果：如果两个签名值相同，则认为请求是合法的；否则，拒绝请求。

<?php//获取签名
function generateSignature($params, $secretKey)
{ksort($params); // 对参数进行排序$stringToSign = http_build_query($params,'', '&',PHP_QUERY_RFC3986); // 拼接参数 注意:使用RFC 3986 标准进行编码确保和前端url转译的特殊字符(空格)保持一致return hash_hmac('sha256', $stringToSign, $secretKey); // 使用 HMAC-SHA256 生成签名
}//验签
function verifySignature($params, $receivedSignature, $secretKey)
{$expectedSignature = generateSignature($params, $secretKey); // 生成期望的签名return hash_equals($expectedSignature, $receivedSignature); // 比较签名是否一致
}// 假设这是从请求中获取的参数和签名$requestParams = [ 'timestamp' => '1679312345', 'nonce_str' => 'abcdefg', 'user_id'=>1 ];$receivedSignature = '签名值从请求中获取'; //签名$secretKey = '你的密钥'; // 这个密钥应该安全地存储在服务器上，并且只有服务器知道// 验证签名if (verifySignature($requestParams, $receivedSignature, $secretKey)){echo "签名验证成功！";} else {echo "签名验证失败！";}

hash：用于验证数据的完整性，不需要密钥，但可能容易受到冲突攻击。
HMAC_hash：结合了密钥和哈希函数来验证数据的完整性和来源，更安全，因为需要知道密钥才能验证 HMAC 值。
注意: http_build_query($params,'', '&',PHP_QUERY_RFC3986); // 拼接参数注意:使用RFC 3986 标准进行编码确保和前端url转译的特殊字符(空格)保持一致

php加密验签

签名生成步骤（小程序端/前端）：

签名验证步骤（PHP 后台）：

相关文章：

php加密验签

【Golang - 90天从新手到大师】Day06 - 数组

java的有参构造方法

Vue66-vue-默认插槽

tsf-consul的使用

【perl】基本语法 /备忘录/

mongodb 集群安装

绿茶集团重启IPO：流量渐退、业绩波动，还能讲出好故事吗？

Git与SSH

我的创作纪念日--码农阿豪

Git 学习笔记（超详细注释，从0到1）

GitLab项目组相关操作（创建项目组Group、创建项目组的项目、为项目添加成员并赋予权限）

英语恶补ing

DS1339C串行实时时钟-国产兼容RS4C1339

神经网络模型---LeNet-5

免费分享：1994-2020年中国各行业二氧化碳排放数据（附下载方法）

Qemu虚拟机在线迁移到VMware

计算机游戏因为d3dcompiler_47.dll丢失无法启动怎么办？解决只要d3dcompiler_47.dll丢失无法启动游戏软件的方法

LDO的原理及测试方法

图论算法学习

Chapter03-Authentication vulnerabilities

【网络】每天掌握一个Linux命令 - iftop

React Native 开发环境搭建（全平台详解）

HTML前端开发：JavaScript 常用事件详解

智能仓储的未来：自动化、AI与数据分析如何重塑物流中心

C++八股 —— 单例模式

PAN/FPN

基于PHP的连锁酒店管理系统

Ubuntu系统复制（U盘-电脑硬盘）

【Linux】Linux安装并配置RabbitMQ