通过创建自定义中间件实现 Laravel API 路由签名保护，1. 生成 CheckApiSignature 中间件并编写签名验证逻辑，包含时间戳检查、参数排序拼接、HMAC-SHA256 签名比对；2. 在 Kernel.php 注册中间件；3. 在 api.php 路由中应用中间件；4. 配置 .env 和 app.php 中的 API 密钥；客户端按相同规则生成签名确保请求合法性。

在 Laravel 中为 API 路由添加签名保护，可以通过自定义中间件实现 URL 签名验证，确保请求来自合法来源，防止伪造或重放攻击。Laravel 自带了对 URL 签名的支持（如 signed URLs），但默认主要用于 Web 路由。对于 API 场景，我们需要手动实现或扩展签名验证逻辑。

启用 API 路由签名保护的步骤

以下是为 Laravel API 路由添加签名中间件保护的完整方法：

1. 创建签名中间件

使用 Artisan 命令创建中间件：

然后在生成的中间件文件 app/Http/Middleware/CheckApiSignature.php 中编写验证逻辑：

header('X-Timestamp') ?: $request->get('timestamp');
        $signature = $request->header('X-Signature') ?: $request->get('signature');

        // 验证必要参数
        if (! $timestamp || ! $signature) {
            return response()->json(['message' => 'Missing signature parameters'], 401);
        }

        // 可选：防止重放攻击（例如：时间戳超过5分钟无效）
        if (time() - $timestamp > 300) {
            return response()->json(['message' => 'Request expired'], 401);
        }

        // 生成待签名字符串（按参数名排序后拼接）
        $data = $request->except(['signature']);
        ksort($data);
        $signString = http_build_query($data) . '&secret=' . $secret;

        // 生成本地签名（可使用 hash_hmac 提高安全性）
        $localSignature = hash_hmac('sha256', $signString, $secret);

        // 对比签名（使用 hash_equals 防止时序攻击）
        if (! hash_equals($localSignature, $signature)) {
            return response()->json(['message' => 'Invalid signature'], 401);
        }

        return $next($request);
    }
}

2. 注册中间件

将中间件注册到 app/Http/Kernel.php 的 $routeMiddleware 数组中：

protected $routeMiddleware = [
    // 其他中间件...
    'api.sign' => \App\Http\Middleware\CheckApiSignature::class,
];

3. 在 API 路由中使用中间件

在 routes/api.php 中为需要保护的路由添加中间件：

use Illuminate\Http\Request;

Route::middleware(['api.sign'])->group(function () {
    Route::get('/secure-data', function () {
        return response()->json(['data' => 'This is protected API data']);
    });

    Route::post('/submit', function (Request $request) {
        return response()->json(['message' => 'Data received', 'data' => $request->all()]);
    });
});

4. 配置签名密钥

在 .env 文件中添加 API 密钥：

并在 config/app.php 中添加读取配置：

'api_secret' => env('API_SECRET', 'default_fallback_secret'),

客户端如何生成签名

客户端请求时需按规则生成签名，示例（JavaScript）：

const params = {
  timestamp: Math.floor(Date.now() / 1000),
  user_id: 123,
  action: 'get_data'
};

// 按 key 排序并拼接
const sortedKeys = Object.keys(params).sort();
let signString = '';
sortedKeys.forEach(key => {
  signString += `${key}=${params[key]}&`;
});
signString += `secret=your_strong_secret_key_here`;

// 使用 HMAC-SHA256 生成签名（前端可用 crypto-js）
const signature = CryptoJS.HmacSHA256(signString, 'your_strong_secret_key_here').toString();

// 发送请求
fetch('/api/secure-data?timestamp='+params.timestamp+'&user_id=123&signature='+signature, {
  headers: {
    'X-Signature': signature,
    'X-Timestamp': params.timestamp
  }
});

基本上就这些。通过以上方式，你可以为 Laravel API 添加可靠的签名验证机制，提升接口安全性。注意密钥保密、防止重放、使用 HTTPS，并定期轮换密钥。中间件可根据实际需求扩展支持白名单 IP、多应用密钥等。

# php  # javascript  # laravel  # java  # js  # 前端  # json  # app  # mac  # 路由  # red  # crypto 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何实现密码重置功能_Laravel密码找回与重置流程  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  JS经典正则表达式笔试题汇总  Laravel如何正确地在控制器和模型之间分配逻辑_Laravel代码职责分离与架构建议  Microsoft Edge如何解决网页加载问题 Edge浏览器加载问题修复  Gemini手机端怎么发图片_Gemini手机端发图方法【步骤】  laravel怎么用DB facade执行原生SQL查询_laravel DB facade原生SQL执行方法  香港服务器租用费用高吗？如何避免常见误区？  Laravel如何设置自定义的日志文件名_Laravel根据日期或用户ID生成动态日志【技巧】  如何在IIS中新建站点并配置端口与物理路径？  ,在苏州找工作，上哪个网站比较好？  Laravel如何生成URL和重定向？（路由助手函数）  Win11怎么关闭资讯和兴趣_Windows11任务栏设置隐藏小组件  Laravel如何使用Contracts（契约）进行编程_Laravel契约接口与依赖反转  Android使用GridView实现日历的简单功能  香港服务器部署网站为何提示未备案？  黑客入侵网站服务器的常见手法有哪些？  Win10如何卸载预装Edge扩展_Win10卸载Edge扩展教程【方法】  高防服务器租用如何选择配置与防御等级？  如何基于云服务器快速搭建个人网站？  JS弹性运动实现方法分析  bing浏览器学术搜索入口_bing学术文献检索地址  Laravel distinct去重查询_Laravel Eloquent去重方法  Laravel如何创建自定义中间件？（Middleware代码示例）  Laravel如何使用Laravel Vite编译前端_Laravel10以上版本前端静态资源管理【教程】  Laravel广播系统如何实现实时通信_Laravel Reverb与WebSockets实战教程  如何在 Go 中优雅地映射具有动态字段的 JSON 对象到结构体  Laravel怎么集成Vue.js_Laravel Mix配置Vue开发环境  Laravel如何使用Scope本地作用域_Laravel模型常用查询逻辑封装技巧【手册】  Laravel的契約(Contracts)是什么_深入理解Laravel Contracts与依赖倒置  Windows Hello人脸识别突然无法使用  php在windows下怎么调试_phpwindows环境调试操作说明【操作】  Internet Explorer官网直接进入 IE浏览器在线体验版网址  想要更高端的建设网站，这些原则一定要坚持！  Laravel怎么多语言本地化设置_Laravel语言包翻译与Locale动态切换【手册】  如何在Windows 2008云服务器安全搭建网站？  Laravel PHP版本要求一览_Laravel各版本环境要求对照  Laravel Pest测试框架怎么用_从PHPUnit转向Pest的Laravel测试教程  JS碰撞运动实现方法详解  Swift中swift中的switch 语句  如何在HTML表单中获取用户输入并结合JavaScript动态控制复利计算循环  北京网页设计制作网站有哪些,继续教育自动播放怎么设置？  高性能网站服务器配置指南：安全稳定与高效建站核心方案  Win11怎么查看显卡温度 Win11任务管理器查看GPU温度【技巧】  Laravel怎么定时执行任务_Laravel任务调度器Schedule配置与Cron设置【教程】  中国移动官方网站首页入口 中国移动官网网页登录  php 三元运算符实例详细介绍  如何确认建站备案号应放置的具体位置？  laravel怎么实现图片的压缩和裁剪_laravel图片压缩与裁剪方法  微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】