通过创建自定义中间件实现 laravel API 路由签名保护,1. 生成 CheckApiSignature 中间件并编写签名验证逻辑,包含时间戳检查、参数排序拼接、Hmac-SHA256 签名比对;2. 在 Kernel.php 注册中间件;3. 在 api.php 路由中应用中间件;4. 配置 .env 和 app.php 中的 API 密钥;客户端按相同规则生成签名确保请求合法性。
在 Laravel 中为 API 路由添加签名保护,可以通过自定义中间件实现 URL 签名验证,确保请求来自合法来源,防止伪造或重放攻击。Laravel 自带了对 URL 签名的支持(如 signed URLs),但默认主要用于 Web 路由。对于 API 场景,我们需要手动实现或扩展签名验证逻辑。
启用 API 路由签名保护的步骤
以下是为 Laravel API 路由添加签名中间件保护的完整方法:
1. 创建签名中间件
使用 Artisan 命令创建中间件:
php artisan make:middleware CheckApiSignature
然后在生成的中间件文件 app/http/Middleware/CheckApiSignature.php 中编写验证逻辑:
<?php namespace AppHttpMiddleware; use Closure; use IlluminateHttpRequest; use IlluminateSupportStr; class CheckApiSignature { public function handle(Request $request, Closure $next) { // 定义签名密钥(建议存于 .env) $secret = config('app.api_secret'); // 获取请求中的时间戳和签名 $timestamp = $request->header('X-Timestamp') ?: $request->get('timestamp'); $signature = $request->header('X-Signature') ?: $request->get('signature'); // 验证必要参数 if (! $timestamp || ! $signature) { return response()->json(['message' => 'Missing signature parameters'], 401); } // 可选:防止重放攻击(例如:时间戳超过5分钟无效) if (time() - $timestamp > 300) { return response()->json(['message' => 'Request expired'], 401); } // 生成待签名字符串(按参数名排序后拼接) $data = $request->except(['signature']); ksort($data); $signString = http_build_query($data) . '&secret=' . $secret; // 生成本地签名(可使用 hash_hmac 提高安全性) $localSignature = hash_hmac('sha256', $signString, $secret); // 对比签名(使用 hash_equals 防止时序攻击) if (! hash_equals($localSignature, $signature)) { return response()->json(['message' => 'Invalid signature'], 401); } return $next($request); } }2. 注册中间件
将中间件注册到 app/Http/Kernel.php 的 $routeMiddleware 数组中:
protected $routeMiddleware = [ // 其他中间件... 'api.sign' => AppHttpMiddlewareCheckApiSignature::class, ];3. 在 API 路由中使用中间件
在 routes/api.php 中为需要保护的路由添加中间件:
use IlluminateHttpRequest; Route::middleware(['api.sign'])->group(function () { Route::get('/secure-data', function () { return response()->json(['data' => 'This is protected API data']); }); Route::post('/submit', function (Request $request) { return response()->json(['message' => 'Data received', 'data' => $request->all()]); }); });4. 配置签名密钥
在 .env 文件中添加 API 密钥:
API_SECRET=your_strong_secret_key_here
并在 config/app.php 中添加读取配置:
'api_secret' => env('API_SECRET', 'default_fallback_secret'),客户端如何生成签名
客户端请求时需按规则生成签名,示例(javaScript):
const params = { timestamp: Math.floor(Date.now() / 1000), user_id: 123, action: 'get_data' }; // 按 key 排序并拼接 const sortedKeys = Object.keys(params).sort(); let signString = ''; sortedKeys.forEach(key => { signString += `${key}=${params[key]}&`; }); signString += `secret=your_strong_secret_key_here`; // 使用 HMAC-SHA256 生成签名(前端可用 crypto-js) const signature = CryptoJS.HmacSHA256(signString, 'your_strong_secret_key_here').toString(); // 发送请求 fetch('/api/secure-data?timestamp='+params.timestamp+'&user_id=123&signature='+signature, { headers: { 'X-Signature': signature, 'X-Timestamp': params.timestamp } });基本上就这些。通过以上方式,你可以为 Laravel API 添加可靠的签名验证机制,提升接口安全性。注意密钥保密、防止重放、使用 https,并定期轮换密钥。中间件可根据实际需求扩展支持白名单 IP、多应用密钥等。
以上就是laravel怎么为API路由添加签名中间件保护_laravel API路由签名中间件保护方法的详细内容,更多请关注php中文网其它相关文章!