开发第三方包的时候使用access_key，access_secret进行验签

参考OAuth2.0协议，当我们开发了一下服务例如oss，文件转码服务等等，这里我们称之为实际功能模块，我们想让第三方快速方便地接入，同时还要确保安全，这时候我们就可以考虑开发一个包我们先称之为中间包，这个中间包有以下特点：
1、将接口简单化，并且做成可调用方法。
2、方法不做实际功能业务，通过http调用实际功能业务接口。
3、我们不可能要求第三方在使用我们的服务的时候还要和写一套签名算法和我们对接，所以验签模块肯定是写在中间包里面写好，第三方在自己平台上获取或申请到access_key和access_secret（自己平台需要保存在数据库），在初始化类的带入。

以php写一个例子：
我现在开发了一个转码功能，在中间包里我先要写好网络层，负责与实际功能接口通讯：
请求类：

class HttpHelper
{
    public static $connectTimeout = 20000;//20 second
    public static $readTimeout = 80000;//80 second

    public static function curl($url, $httpMethod = "GET", $postFields = null, $headers = null)
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_CUSTOMREQUEST, $httpMethod);
        if (defined('ENABLE_HTTP_PROXY')) {  //如果有设置http代理
            curl_setopt($ch, CURLOPT_PROXYAUTH, CURLAUTH_BASIC);
            curl_setopt($ch, CURLOPT_PROXY, HTTP_PROXY_IP);
            curl_setopt($ch, CURLOPT_PROXYPORT, HTTP_PROXY_PORT);
            curl_setopt($ch, CURLOPT_PROXYTYPE, CURLPROXY_HTTP);
        }
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_FAILONERROR, false);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        if ($httpMethod == 'POST'){
            curl_setopt($ch, CURLOPT_POSTFIELDS, $postFields);
        }
        if (self::$readTimeout) {
            curl_setopt($ch, CURLOPT_TIMEOUT, self::$readTimeout);
        }
        if (self::$connectTimeout) {
            curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, self::$connectTimeout);
        }
        //https request
        if (strlen($url) > 5 && strtolower(substr($url, 0, 5)) == "https") {
            curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
            curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
        }

        if (is_array($headers) && 0 < count($headers)) {
            $httpHeaders = self::getHttpHearders($headers);
            curl_setopt($ch, CURLOPT_HTTPHEADER, $httpHeaders);
        }
        $httpResponse = new HttpResponse();
        $httpResponse->setBody(curl_exec($ch));
        $httpResponse->setStatus(curl_getinfo($ch, CURLINFO_HTTP_CODE));
        if (curl_errno($ch)) {
            throw new Exception("Speicified endpoint or uri is not valid.", "SDK.ServerUnreachable");
        }
        curl_close($ch);

        return $httpResponse;
    }
    public static function getHttpHearders($headers)
    {
        $httpHeader = array();
        foreach ($headers as $key => $value) {
            array_push($httpHeader, $key.":".$value);
        }
        return $httpHeader;
    }
}

响应类：

class HttpResponse
{
    private $body;
    private $status;

    public function getBody()
    {
        return $this->body;
    }
    public function setBody($body)
    {
        $this->body = $body;
    }
    public function getStatus()
    {
        return $this->status;
    }
    public function setStatus($status)
    {
        $this->status  = $status;
    }
    public function isSuccess()
    {
        if (200 <= $this->status && 300 > $this->status) {
            return true;
        }
        return false;
    }
    public function getMessage(){
        $response = $this->body;
        $message = json_decode($response,true);
        return is_array($message)?$message['data']['msg']:'未知异常';
    }
}

然后中间包的客户端可以这样写：

class Transcode
{
    protected $access_key;
    protected $access_secret;
    public function __construct($access_key,$access_secret)
    {
        $this->access_key = $access_key;
        $this->access_secret = $access_secret;
    }

    public function VideoTranscode($objectKeyInput, $objectKeyTarget, $type, $preset_id, $pipeline_id){
        $params = array(
            'input_file'=>$objectKeyInput,
            'output_file'=>$objectKeyTarget,
            'file_type'=>$type,
            'preset_id'=>$preset_id,
            'pipeline_id'=>$pipeline_id,
            'access_key'=>$this->access_key,
        );
        $header = array(
            'signature'=>\Signature::doSignMd5($params,$this->access_secret)
        );
        $response = \HttpHelper::curl('10.8.8.99/api/upload_complete','POST',$params,$header);
        //10.8.8.99/api/upload_complete是实际功能接口
        return $response->getBody();
    }

    public function LiveTranscode(){
        $params = array(
            'access_key'=>$this->access_key,
        );
        $header = array(
            'signature'=>\Signature::doSignMd5($params,$this->access_secret)
        );
        $response =\HttpHelper::curl('10.8.8.99/api/livejob','POST',$params,$header);
        return $response->getBody();
    }
}

access_key可以带在参数里，因为这个就像用户名，但是access_secret是调用服务的密码，只有发送方和接收方知道，必须加密传输，同时为了在网络传输的过程中参数被篡改，我们可以把参数和该access_secret使用签名算法加密成签名字符串signature，带在http头部，实际功能模块接收到post过来的参数，获取里面的access_key参数查询数据库是否存在该用户，如果存在则获取该用户的access_secret,和post过来的参数进行相同的签名算法生成signature1,如果signature1=signature则证明签名成功，数据没有被篡改，并且该用户是又权限操作该接口的。
写一个简单的签名类：

class Signature
{
    public static function doSignMd5($data, $key = '') {
        //签名步骤一：按字典序排序参数
        ksort($data);
        $string = self::ToUrlParams($data);
        //签名步骤二：在string后加入KEY
        $string = $string . "&key=" . $key;
        //签名步骤三：MD5加密
        $string = md5($string);
        //签名步骤四：所有字符转为大写
        $result = strtoupper($string);
        return $result;
    }

    protected static function ToUrlParams($data) {
        $buff = "";
        foreach ($data as $k => $v)
        {
            if($k != "sign" && $v != "" && !is_array($v)){
                $buff .= $k . "=" . $v . "&";
            }
        }
        $buff = trim($buff, "&");
        return $buff;
    }
}

这样一个简单的中间包就实现了，在实际功能模块我们这样验证签名:

$params = $_POST;
 $access_key = $params['access_key'];
        $type = $params['type'];
        $signature = $request->header('signature');
        $data = PartnerSdkModel::where('is_on',1)->where('sdk_id',$type)
            ->where('access_key',$access_key)->first();
        if (empty($data)){
            return ApiResponse(['message'=>'access_key不存在','status'=>401,'error_id'=>'ACCESS_KEY_NOT_EXIST']);
        }
        $sign_result = \App\Library\ParentSign::doSignMd5($params, $data->access_secret);
        if ($sign_result != $signature) {
            return ApiResponse(['message'=>'签名失败','status'=>401,'error_id'=>'SIGNATURE_ERROR']);
        }
return;

然后第三方这样调用我们的中间包就可以实现调用我们实际功能接口：

$client= new Transcode('your_access_key','your_access_secret');
$liveData = $client->VideoTranscode();

最后编辑于：2017.12.11 01:57:15

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 194,242评论 5赞 459
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 81,769评论 2赞 371
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 141,484评论 0赞 319
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 52,133评论 1赞 263
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 61,007评论 4赞 355
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 46,080评论 1赞 272
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 36,496评论 3赞 381
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 35,190评论 0赞 253
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 39,464评论 1赞 290
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 34,549评论 2赞 309
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 36,330评论 1赞 326
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 32,205评论 3赞 312
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 37,567评论 3赞 298
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 28,889评论 0赞 17
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 30,160评论 1赞 250
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 41,475评论 2赞 341
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 40,650评论 2赞 335

开发第三方包的时候使用access_key，access_secret进行验签

推荐阅读更多精彩内容