在做一些api接口设计时候会遇到设置权限问题，比如我这个接口只有指定的用户才能访问。

很多时候api接口是属于无状态的，没办法获取session，就不能够用登录的机制去验证，那么

大概的思路是在请求包带上我们自己构造好的签名，这个签名必须满足下面几点：

a、唯一性，签名是唯一的，可验证目标用户

b、可变性，每次携带的签名必须是变化的

c、时效性，具有一定的时效，过期作废

d、完整性，能够对数据包进行验证，防止篡改

直接看下面代码

<?php

// 设置一个公钥(key)和私钥(secret)，公钥用于区分用户，私钥加密数据，不能公开

$key = "c4ca4238a0b923820dcc509a6f75849b";

$secret = "28c8edde3d61a0411511d3b1866f0636";

// 待发送的数据包

$data = array(

    'username' => 'abc@qq.com',

    'sex' => '1',

    'age' => '16',

    'addr' => 'guangzhou',

    'key' => $key,

    'timestamp' => time(),

);

// 获取sign

function getSign($secret, $data) {

    // 对数组的值按key排序

    ksort($data);

    // 生成url的形式

    $params = http_build_query($data);

    // 生成sign

    $sign = md5($params . $secret);

    return $sign;

}

// 发送的数据加上sign

$data['sign'] = getSign($secret, $data);

/**

 * 后台验证sign是否合法

 * @param  [type] $secret [description]

 * @param  [type] $data   [description]

 * @return [type]         [description]

 */

function verifySign($secret, $data) {

    // 验证参数中是否有签名

    if (!isset($data['sign']) || !$data['sign']) {

        echo '发送的数据签名不存在';

        die();

    }

    if (!isset($data['timestamp']) || !$data['timestamp']) {

        echo '发送的数据参数不合法';

        die();

    }

    // 验证请求， 10分钟失效

    if (time() - $data['timestamp'] > 600) {

        echo '验证失效， 请重新发送请求';

        die();

    }

    $sign = $data['sign'];

    unset($data['sign']);

    ksort($data);

    $params = http_build_query($data);

    // $secret是通过key在api的数据库中查询得到

    $sign2 = md5($params . $secret);

    if ($sign == $sign2) {

        die('验证通过');

    } else {

        die('请求不合法');

    }

}

?>