2.4 PhalApi 2.x 过滤器

过滤器

默认可用的MD5签名

基于很多同学对接口签名验证比较陌生，PhalApi提供了一个基本版的接口验证服务。主要是基于md5进行的签名生成，这个只能作为一般性的参考。大家可以在此基础上进行调整延伸。

默认情况下，在./config/di.php文件中去掉注释便可开启此接口验证，即：

// 签名验证服务
$di->filter = new \PhalApi\Filter\SimpleMD5Filter();

其验签的算法如下（如注释所示）：

1、排除签名参数（默认是sign）
2、将剩下的全部参数，按参数名字进行字典排序
3、将排序好的参数，全部用字符串拼接起来
4、进行md5运算

以下面的示例参数为例，即：

1、排除签名参数（默认是sign）
?service=Examples_CURD.Get&id=1


2、将剩下的全部参数，按参数名字进行字典排序
id=1
service=Examples_CURD.Get


3、将排序好的参数，全部用字符串拼接起来
"1Examples_CURD.Get" = "1" + "Examples_CURD.Get"


4、进行md5运算
sign = 3ba5f5f03a90b2a648f5dd1df7387e26 = md5("1Examples_CURD.Get")


5、请求时，加上签名参数
?service=Examples_CURD.Get&id=1&sign=3ba5f5f03a90b2a648f5dd1df7387e26

下面是两个调用示例，错误请求下（即签名失败）：

http://dev.phalapi.net/?service=Examples_CURD.Get&id=1&sign=xxx


返回：
{
    "ret": 406,
    "data": [],
    "msg": "非法请求：签名错误"
}

温馨提示：签名错误情况下，可以查看日记获得正确的sign，如：

2017-07-22 12:02:18|DEBUG|Wrong Sign|{"needSign":"3ba5f5f03a90b2a648f5dd1df7387e26"}

正常请求下（带sign签名）：

http://dev.phalapi.net/?service=Examples_CURD.Get&id=1&sign=3ba5f5f03a90b2a648f5dd1df7387e26

如果不想使用sign作为关键的签名参数，可以在注册时指定，如使用缩写s：

$di->filter = new \PhalApi\Filter\SimpleMD5Filter('s');

白名单配置

对于不需要进行签名验证的接口服务，可以使用白名单配置，通过框架自身实现对指定配置的接口服务排除。即调用的接口服务，如果配置了白名单，则不调用过滤器。

接口服务白名单配置是：app.service_whitelist，即配置文件./config/app.php里面的service_whitelist配置，其默认值是：

    'service_whitelist' => array(
        'Site.Index',
    ),

如源代码里的注释所示，配置的格式有以下四种。

类型	配置格式	匹配规则	示例及说明
全部	*.*	匹配全部接口服务（慎用！）	如果配置了此规则，即全部的接口服务都不触发过滤器。
方法通配	Site.*	匹配某个类的任何方法	即App\Api\Site接口类的全部方法
类通配	*.Index	匹配全部接口类的某个方法	即全部接口类的Index方法
具体匹配	Site.Index	匹配指定某个接口服务	即App\Api\Site::Index()

如果有多个生效的规则，按短路判断原则，即有任何一个白名单规则匹配后就跳过验证，不触发过滤器。

以下是更多的示例：

    'service_whitelist' => array(
        '*.Index',           // 全部的Index方法
        'Test.*',            // Api_Test的全部方法
        'User.GetBaseInfo',  // Api_User::GetBaseInfo()方法
    ),

配置好上面的白名单后，以下这些接口服务全部不会触发过滤器：

// 全部的Index方法
?service=Site.Index
?service=User.Index


// Api_Test的全部方法
?service=Test.DoSth
?service=Test.Hello
?service=Test.GOGOGO


// Api_User::GetBaseInfo()方法
?service=User.GetBaseInfo

更好地建议

通常关于接口签名这块，我们还需要：

• 1、为不同的接入方定义不同的密钥和私钥；
• 2、如果业务需要，为各个接口、各个接入方分配调用权限；
• 3、统一签名参数的规则，可以配置在./config/app.php中的，如上面的签名需要的参数，我们可以追加统一的参数规则：

  /**
   * 应用接口层的统一参数
   */
  'apiCommonRules' => array(
      'signature' => array('name' => 'signature', 'require' => true),
      'timestamp' => array('name' => 'timestamp', 'require' => true),
      'nonce' => array('name' => 'nonce', 'require' => true),
  ),

扩展：实现你的签名方式

如果我们需要实现签名验证，只需要简单的两步即可：

• 1、实现过滤器接口 PhalApi\Filter::check()；

• 2、注册过滤器服务 PhalApi\DI()->filter；

下面以大家熟悉的 微信验签 为例，进行示例说明。

实现过滤器接口

通常我们约定返回ret = 402表示验证失败，所以当签名失败时，我们可以返回ret = 402以告知客户端签名不对。根据微信的检验signature的PHP示例代码，我们可以快速实现自定义签名规则，如：

// 文件 ./src/app/Common/SignFilter.php 
<?php
namespace App\Common;


use PhalApi\Filter;
use PhalApi\Exception\BadRequestException;


class SignFilter implements Filter
{
    public function check()
    {
        $signature = \PhalApi\DI()->request->get('signature');
        $timestamp = \PhalApi\DI()->request->get('timestamp');
        $nonce = \PhalApi\DI()->request->get('nonce');  


        $token = 'Your Token Here ...';
        $tmpArr = array($token, $timestamp, $nonce);
        sort($tmpArr, SORT_STRING);
        $tmpStr = implode( $tmpArr );
        $tmpStr = sha1( $tmpStr );


        if ($tmpStr != $signature) {
            throw new BadRequestException('wrong sign', 1);
        }
    }
}

注册过滤器服务

随后，我们只需要再简单地注册一下过滤器服务即可，在./config/di.php文件最后追加：

// 签名验证服务
$di->filter = new App\Common\SignFilter();