CI REST 服务器 API 密钥

Question

我是 API 开发的新手，但通过阅读我能找到的所有文章，我成功地实现了 Phil Sturgeon 和 Chris Kacerguis 的 CI REST Server，但我无法回答以下问题：@987654321 @ 和How can I generate an API Key in My own Controller in Codeigniter。

我已按照第一个问题的已接受答案中的建议将“boguskey”添加到数据库中，但我对这里的安全性感到困惑。如果我需要一个硬编码的 API 密钥来生成新密钥，并且有人可以查看标题以查看这个伪造的 API 密钥，那么我如何保护我的 API，然后从使用这个 API 密钥生成大量 API 密钥的人那里得到保护在我的 API 中为我们服务？如果我不添加 boguskey，那么无论我调用哪个函数，我都会收到“无效的 API 密钥”。

如果这是一个愚蠢的问题，我深表歉意，但如果有人能举例说明我如何安全地生成密钥（或者如果我误解了情况，至少告诉我），我将不胜感激。

Answer 1

为了确保最大的安全性，你应该加密所有发送的数据，然后如果 API 可以正确解密你应该没问题，你可以使用 RSA 加密，所以如果有人拦截了他无法解密或克隆的请求，但是RSA 并非设计用于长块纯文本，因此您可以使用混合加密。也就是说，这涉及使用 RSA 对对称密钥进行非对称加密。

随机生成一个对称加密（比如 AES）密钥并用它加密纯文本消息。然后，使用 RSA 加密对称密钥。传输对称加密的文本以及非对称加密的对称密钥。

API 然后可以解密 RSA 块，这将产生对称密钥，从而允许解密对称加密的文本。

要在 CodeIgniter 上实现 RSA，您可以使用 this 类，调用控制器上的文件 require_once("RSA.php");。

在 API 消费者控制器上创建一个数组，其中包含数据和非对称加密的对称密钥

$request_data = array();
$request_data["username"] = "taghouti";
$request_data["project"] = "Secured_API";
$serialized_request_data = serialize($request_data);
$enc = new RSAEnc($serialized_request_data,'public_key');
$encrypted = $enc->result();
$request_data = array(
    "data" => base64_encode($encrypted->result), 
    "key" => base64_encode($encrypted->key)
);

在 API 控制器上，您应该尝试使用您的私钥解密对称密钥，如果解密成功，您应该没问题

if ($_POST["key"]) {
  $key = base64_decode($_POST["key"]);
  $_POST["key"] = null;
  if (isset($_POST["data"])) {
    $data = base64_decode($_POST["data"]);
    $dec = new RSADec($data, 'private_key', $key);
    $decrypted = $dec->result();
    if($decrypted->success !== true) die("Decryption failed");
    $decrypted = @unserialize($decrypted->result);
    $_POST = is_array($decrypted) ? $decrypted : array();
    $this->_post_args = $_POST;
  }
} 

if($this->input->post('project') && $this->input->post('username')) {
  //Enjoy
} else {
  die('data parsing error');
}