如何在PHP API中安全验证调用方身份（而非依赖Referer）

本文讲解为何不能依赖$_SERVER['HTTP_REFERER']验证API调用来源，并提供基于令牌（Token）与服务端状态的可靠身份认证方案，适用于HTTPS环境下的敏感数据接口保护。

本文讲解为何不能依赖`$_SERVER['HTTP_REFERER']`验证API调用来源，并提供基于令牌（Token）与服务端状态的可靠身份认证方案，适用于HTTPS环境下的敏感数据接口保护。

在构建对外暴露的PHP API（如 https://abcdefg.de/api/api.php?test=test）时，仅靠URL参数校验凭证远远不够——攻击者可轻易伪造请求。你曾尝试使用 $_SERVER['HTTP_REFERER'] 限制调用来源（例如只允许 https://test.de），但该方式存在根本性缺陷：Referer由客户端浏览器自动添加，完全可被篡改或主动省略；尤其在现代HTTPS站点向其他HTTPS站点发起请求、或通过JavaScript fetch()/XMLHttpRequest 调用时，浏览器出于隐私策略常不发送Referer，导致其值为空或不可靠。

因此，“检查谁在调用”这一需求，在纯无状态HTTP API场景下，不能依赖任何客户端声明的字段（包括Referer、Origin、User-Agent等）。真正安全的方案是：将“调用权限”转化为“可验证的服务端凭证”。推荐采用以下组合策略：

✅ 推荐方案：API密钥 + 一次性时间戳令牌（Token）

1. 为每个合法调用方分配唯一API密钥（API Key）
   存储于服务端数据库或配置文件中（切勿硬编码在前端），例如：

   // config.php
   $valid_api_keys = [
       'test-de-2024' => ['allowed_domains' => ['https://test.de'], 'secret' => 'a3f9b1e7c8d4...'],
       'admin-app'    => ['allowed_domains' => ['https://admin.abcdefg.de'], 'secret' => '...']
   ];

2. 前端调用时生成签名令牌（Signed Token）
   在可信前端（如 https://test.de 的JS中）生成包含时间戳和API Key的HMAC签名：

   // 前端（需配合后端共享密钥）
   const apiKey = 'test-de-2024';
   const timestamp = Math.floor(Date.now() / 1000);
   const secret = 'a3f9b1e7c8d4...'; // 实际应通过安全方式获取（如后端下发的短期token）
   const signature = CryptoJS.HmacSHA256(`${apiKey}|${timestamp}`, secret).toString();
   
   fetch('https://abcdefg.de/api/api.php?test=test&api_key=' + apiKey + '&ts=' + timestamp + '&sig=' + signature);

3. 后端严格校验令牌有效性

   // api.php
   $apiKey = $_GET['api_key'] ?? '';
   $timestamp = (int)($_GET['ts'] ?? 0);
   $receivedSig = $_GET['sig'] ?? '';
   
   if (!isset($valid_api_keys[$apiKey])) {
       http_response_code(403);
       die('Invalid API key');
   }
   
   // 检查时间戳防重放（窗口5分钟）
   if (abs(time() - $timestamp) > 300) {
       http_response_code(400);
       die('Expired timestamp');
   }
   
   // 重新计算签名并比对
   $expectedSig = hash_hmac('sha256', "{$apiKey}|{$timestamp}", $valid_api_keys[$apiKey]['secret']);
   if (!hash_equals($expectedSig, $receivedSig)) {
       http_response_code(403);
       die('Invalid signature');
   }
   
   // ✅ 通过所有校验，执行敏感逻辑
   echo json_encode(['data' => 'sensitive_info']);

⚠️ 重要注意事项

• 绝不信任客户端声明的来源：Origin 头虽比Referer稍可靠（浏览器强制设置），但仍可被恶意客户端伪造，仅适用于同源/CORS场景的辅助校验，不可作为主认证手段。
• HTTPS是前提：所有通信必须强制HTTPS，防止密钥和令牌在传输中被截获。
• 密钥轮换与权限最小化：为不同调用方分配独立密钥，并定期轮换；避免一个密钥泄露导致全系统失守。
• 日志与监控：记录异常调用（如签名失败、过期时间戳），及时发现暴力破解或密钥泄露。

总结：真正的API调用方验证，本质是服务端可控的身份认证，而非客户端不可信的自我声明。通过API密钥+时间戳+HMAC签名的组合，你既能确保调用者持有有效凭证，又能防御重放攻击，完全摆脱对HTTP_REFERER等脆弱机制的依赖。