通过创建自定义中间件实现 Laravel API 路由签名保护，1. 生成 CheckApiSignature 中间件并编写签名验证逻辑，包含时间戳检查、参数排序拼接、HMAC-SHA256 签名比对；2. 在 Kernel.php 注册中间件；3. 在 api.php 路由中应用中间件；4. 配置 .env 和 app.php 中的 API 密钥；客户端按相同规则生成签名确保请求合法性。

在 Laravel 中为 API 路由添加签名保护，可以通过自定义中间件实现 URL 签名验证，确保请求来自合法来源，防止伪造或重放攻击。Laravel 自带了对 URL 签名的支持（如 signed URLs），但默认主要用于 Web 路由。对于 API 场景，我们需要手动实现或扩展签名验证逻辑。

启用 API 路由签名保护的步骤

以下是为 Laravel API 路由添加签名中间件保护的完整方法：

1. 创建签名中间件

使用 Artisan 命令创建中间件：

然后在生成的中间件文件 app/Http/Middleware/CheckApiSignature.php 中编写验证逻辑：

header('X-Timestamp') ?: $request->get('timestamp');
        $signature = $request->header('X-Signature') ?: $request->get('signature');

        // 验证必要参数
        if (! $timestamp || ! $signature) {
            return response()->json(['message' => 'Missing signature parameters'], 401);
        }

        // 可选：防止重放攻击（例如：时间戳超过5分钟无效）
        if (time() - $timestamp > 300) {
            return response()->json(['message' => 'Request expired'], 401);
        }

        // 生成待签名字符串（按参数名排序后拼接）
        $data = $request->except(['signature']);
        ksort($data);
        $signString = http_build_query($data) . '&secret=' . $secret;

        // 生成本地签名（可使用 hash_hmac 提高安全性）
        $localSignature = hash_hmac('sha256', $signString, $secret);

        // 对比签名（使用 hash_equals 防止时序攻击）
        if (! hash_equals($localSignature, $signature)) {
            return response()->json(['message' => 'Invalid signature'], 401);
        }

        return $next($request);
    }
}

2. 注册中间件

将中间件注册到 app/Http/Kernel.php 的 $routeMiddleware 数组中：

protected $routeMiddleware = [
    // 其他中间件...
    'api.sign' => \App\Http\Middleware\CheckApiSignature::class,
];

3. 在 API 路由中使用中间件

在 routes/api.php 中为需要保护的路由添加中间件：

use Illuminate\Http\Request;

Route::middleware(['api.sign'])->group(function () {
    Route::get('/secure-data', function () {
        return response()->json(['data' => 'This is protected API data']);
    });

    Route::post('/submit', function (Request $request) {
        return response()->json(['message' => 'Data received', 'data' => $request->all()]);
    });
});

4. 配置签名密钥

在 .env 文件中添加 API 密钥：

并在 config/app.php 中添加读取配置：

'api_secret' => env('API_SECRET', 'default_fallback_secret'),

客户端如何生成签名

客户端请求时需按规则生成签名，示例（JavaScript）：

const params = {
  timestamp: Math.floor(Date.now() / 1000),
  user_id: 123,
  action: 'get_data'
};

// 按 key 排序并拼接
const sortedKeys = Object.keys(params).sort();
let signString = '';
sortedKeys.forEach(key => {
  signString += `${key}=${params[key]}&`;
});
signString += `secret=your_strong_secret_key_here`;

// 使用 HMAC-SHA256 生成签名（前端可用 crypto-js）
const signature = CryptoJS.HmacSHA256(signString, 'your_strong_secret_key_here').toString();

// 发送请求
fetch('/api/secure-data?timestamp='+params.timestamp+'&user_id=123&signature='+signature, {
  headers: {
    'X-Signature': signature,
    'X-Timestamp': params.timestamp
  }
});

基本上就这些。通过以上方式，你可以为 Laravel API 添加可靠的签名验证机制，提升接口安全性。注意密钥保密、防止重放、使用 HTTPS，并定期轮换密钥。中间件可根据实际需求扩展支持白名单 IP、多应用密钥等。