Задать вопрос
@bernex
php

Как подписать и защитить данные запроса?

Стоит задача защитить запрос вида, от:
1. Перебора $ORDERID
2. Видимости $ORDERID
3. Знать что запрос пришел оттуда, где его создали, а не "вручную"

/payment/$ORDERID/
/payment/$USERID/

Вначале была идея: /payment/$ORDERID/$SIGN, где
$SIGN = hash( 'sha256', $orderID . $this->salt)
Но думаю этого недостаточно. Хочется не светить $ORDERID и $USERID

Есть ли смысл использовать:
$nonceSize = openssl_cipher_iv_length($METHOD);
        $nonce = openssl_random_pseudo_bytes($nonceSize);

        $ciphertext = openssl_encrypt(
            $message,
            $METHOD,
            $key,
            OPENSSL_RAW_DATA,
            $nonce
        );

        return base64_encode($nonce.$ciphertext);


Чтобы получить просто запрос, без подписи: /payment/$CRYPTEDDATA
$CRYPTEDDATA = crypt($ORDERID);

Или нужно еще добавлять хэш? Или шифрования достаточно? Не хочется усложнять до уровня бреда.
  • Вопрос задан
  • 345 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
elevenelven
@elevenelven
Php Dev @ Amadeus
Не хочется усложнять до уровня бреда.

К сожалению, вам придется написать некоторую обертку для шифрования\дешифрования защищаемых сегментов. Если вы сможете это сделать так, чтобы код был гибкий и реиспользуемый, то это не будет бредом.

В частности, вы сможете сменить алгоритм шифрования на менее затратный по процессорному времени.

Я бы отказался от return base64_encode($nonce.$ciphertext); в пользу транслирования каждого байта шифртекста в hex (например), или вообще в какую-то 25-тиричную систему (англ. алфавит).
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
MetaDone
@MetaDone
Хорошо сформулированный вопрос - 50% решения
https://tech.yandex.ru/money/doc/dg/reference/noti...
не очень понятно что вы хотите, но кажется схема как у яндекс-денег подойдет
Ответ написан
2 комментария
2 комментария
e_svirsky
@e_svirsky
Web Developer
Можно использовать шифрование aes 256 с секретом. от подбора защита и не видны данные userId и orderId.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
PHP разработчик
Lenkep Recruitment
от 190 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Настройка Pycharm
27 нояб. 2024, в 18:19
2000 руб./за проект
2 задачи в wp
27 нояб. 2024, в 17:41
2000 руб./за проект
Написать бот в телеграм
27 нояб. 2024, в 17:26
1 руб./за проект
Ещё заказы