四十六、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(13)

最新推荐文章于 2024-11-12 23:14:56 发布
最新推荐文章于 2024-11-12 23:14:56 发布
阅读量242 收藏
点赞数
分类专栏: 逐行阅读Yii2.0.43源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mianhuatangVSyeyu/article/details/121282190
版权

Yii2框架 CSRF防护 令牌管理 安全验证 Web开发
关键词由CSDN通过智能技术生成

一、属性

1. $_csrfToken 用于csrf验证的令牌


    // csrf验证的令牌
    private $_csrfToken;

二、方法

1. getCsrfToken方法,返回csrf验证的token

    //返回用于csrf验证的令牌
    public function getCsrfToken($regenerate = false)
    {
        if ($this->_csrfToken === null || $regenerate) {

            //从cookie或session获取token
            $token = $this->loadCsrfToken();

            //重新生成token
            if ($regenerate || empty($token)) {
                $token = $this->generateCsrfToken();
            }

            //进一步掩码处理
            $this->_csrfToken = Yii::$app->security->maskToken($token);
        }

        return $this->_csrfToken;
    }

2. loadCsrfToken方法,从cookie或session获取令牌

    // 从cookie或session中获取csrf令牌
    protected function loadCsrfToken()
    {
        //如果启用了cookie来持久化token,
        //这里就从cookie中获取
        if ($this->enableCsrfCookie) {
            return $this->getCookies()->getValue($this->csrfParam);
        }

        // 默认从session中获取
        return Yii::$app->getSession()->get($this->csrfParam);
    }

3. generateCsrfToken方法,生成令牌

    //生成一个随机token
    protected function generateCsrfToken()
    {
        // 32位token
        $token = Yii::$app->getSecurity()->generateRandomString();

        // 保存token到cookie或session
        if ($this->enableCsrfCookie) {
            // cookie对象
            $cookie = $this->createCsrfCookie($token);
            Yii::$app->getResponse()->getCookies()->add($cookie);
        } else {
            Yii::$app->getSession()->set($this->csrfParam, $token);
        }

        return $token;
    }

4. getCsrfTokenFromHeader方法,从请求头获取令牌

    // 从请求头中获取token
    public function getCsrfTokenFromHeader()
    {
        return $this->headers->get(static::CSRF_HEADER);
    }

5. createCsrfCookie方法,创建带有csrf令牌的cookie对象

    // 生成cookie对象
    protected function createCsrfCookie($token)
    {
        $options = $this->csrfCookie;

        //返回cookie对象
        return Yii::createObject(array_merge($options, [
            'class' => 'yii\web\Cookie',
            'name' => $this->csrfParam,
            'value' => $token,
        ]));
    }

6. validateCsrfToken方法,验证token

    // csrf验证
    public function validateCsrfToken($clientSuppliedToken = null)
    {
        $method = $this->getMethod();
        // only validate CSRF token on non-"safe" methods https://tools.ietf.org/html/rfc2616#section-9.1.1

        // 无需验证条件:
        // 1. 未开启csrf验证
        // 2. GET,HEAD,OPTIONS请求不验证
        // 满足以上一个条件就可以
        if (!$this->enableCsrfValidation
            || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
            return true;
        }

        // 掩码过的token
        $trueToken = $this->getCsrfToken();

        // 1. 用户提供的token
        if ($clientSuppliedToken !== null) {
            return $this->validateCsrfTokenInternal($clientSuppliedToken, $trueToken);
        }

        return
            // 2. POST请求字段中携带的token
            $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
            // 3. 请求头中携带的token
            || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
    }

7. validateCsrfTokenInternal方法,token验证

    // token验证
    private function validateCsrfTokenInternal($clientSuppliedToken, $trueToken)
    {
        // 非字符串返回false
        if (!is_string($clientSuppliedToken)) {
            return false;
        }

        $security = Yii::$app->security;

        //token比较
        return $security->compareString(
            $security->unmaskToken($clientSuppliedToken), 
            $security->unmaskToken($trueToken)
        );
    }

总结:

 阅读了1个属性和7个方法:

  • $_csrfToken 用于csrf验证的令牌
  • getCsrfToken方法,返回csrf验证的token
  • loadCsrfToken方法,从cookie或session获取令牌
  • generateCsrfToken方法,生成令牌
  • getCsrfTokenFromHeader方法,从请求头获取令牌
  • createCsrfCookie方法,创建带有csrf令牌的cookie对象
  • validateCsrfToken方法,验证token
  • validateCsrfTokenInternal方法,token验证
会飞的猫666
关注
专栏目录
Yii框架进行session操作
一花一世界
05-13 5357
Yii框架中对session的操作,我们是通过一个叫session组件的东西,首先我们需要获取session组件。 $session = \Yii::$app->session; 获取了session组件之后,想要对session进行操作,我们首先需要判断session是否启用 if ($session->isActive){ echo "session已经开启...
Yii2.0 SESSION使用方法
红尘炼炼心的博客
08-24 1624
Session Yii2Session比较简单 ,直接通过\Yii::$app->session进行操作 添加一个session① $session = \Yii::$app->session; $session->set('smister_name' , 'myname'); $session->set('smister_array' ,[1,2,3]); ?>
Yii2 CSRF
weixin_30872789的博客
08-23 111
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
四十、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(7)
mianhuatangVSyeyu的博客
11-06 211
一、属性 1. $_pathInfo 路径信息 2. $_url 请求的相对url //请求路径信息 private $_pathInfo; // 请求的相对url private $_url; 二、方法 1. getPathInfo方法,返回路劲信息 //当前请求的路径信息 public function getPathInfo() { if ($this->_pathInfo === null) {
三十四、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(1)
mianhuatangVSyeyu的博客
10-29 129
yii\web\Request类继承yii\base\Request类。 web Request类表示一个HTTP请求。 它封装了$_SERVER变量,并解决了不同Web服务器之间的不一致性。 它还提供了从$_POST, $_GET, $_COOKIES和REST检索请求参数的接口 1. 属性 CSRF_HEADER CSRF token键名 CSRF_MASK_LENGTH CSRF token掩码长度 $enableCsrfValidation 是否启用csrf验证 $csrfPara..
四十八、逐行阅读Yii2.0.43_Yii框架文件yii\base\Request.php
mianhuatangVSyeyu的博客
11-16 130
yii\base\Request是一个Request抽象基类。继承yii\base\Component类。 一、属性 1. $_scriptFile入口脚本文件 2. $_isConsoleRequest是否命令行请求 // 脚本入口文件 private $_scriptFile; //是否命令行请求 private $_isConsoleRequest; 二、方法 1. resolve方法,解析请求 //解析请求 abstract pu
四十三、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(10)
mianhuatangVSyeyu的博客
11-10 399
一、getUserHost方法,返回用户主机名 //返回用户主机名 public function getUserHost() { $userIp = $this->getUserIpFromIpHeaders(); if($userIp === null) { return $this->getRemoteHost(); } return gethostbyaddr($userI
四十四、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(11)
mianhuatangVSyeyu的博客
11-11 347
一、属性 1. $_port 端口号 2. $_securePort 端口号(安全连接) 3. $_contentType 内容类型 4. $_languages 语言 //端口号 private $_port; //端口号(安全连接) private $_securePort; //内容类型 private $_contentTypes; //语言 private $_languages; 二、方法 1. getPor.
四十一、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(8)
mianhuatangVSyeyu的博客
11-08 132
一、getQueryString方法,返回url中查询参数部分 // query string public function getQueryString() { return isset($_SERVER['QUERY_STRING']) ? $_SERVER['QUERY_STRING'] : ''; } 二、getIsSecureConnection方法,是否安全连接 //检查是否ht.
四十二、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(9)
mianhuatangVSyeyu的博客
11-09 150
一、getUserIpFromIpHeaders方法,从请求头检索客户端ip // 返回客户端ip地址 protected function getUserIpFromIpHeaders() { $ip = $this->getSecureForwardedHeaderTrustedPart('for'); if ($ip !== null && preg_match( '/^\[?(?P<ip
三十九、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(6)
mianhuatangVSyeyu的博客
11-05 142
一、属性 1. $_baseUrl 相对url 2. $_scriptUrl 入口url 3. $_scriptFile 入口文件 //url private $_baseUrl; //入口url private $_scriptUrl; //入口文件 private $_scriptFile; 二、方法 1. getBaseUrl方法,返回相对url // 返回相对url public function getBas.
三十七、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(4)
mianhuatangVSyeyu的博客
11-03 123
一、属性 1. $_rawBody 原生body内容 2. $_bodyParams body内参数 // 原生body内容 private $_rawBody; //body参数 private $_bodyParams; 二、方法 1.getRawBody方法,返回原生请求体 //返回原生请求内容 public function getRawBody() { if ($this->_rawBody ===.
四十九、逐行阅读Yii2.0.43_Yii框架文件yii\web\Response.php(1)
mianhuatangVSyeyu的博客
11-17 359
yii\web\Response继承yii\base\Response类,表示一个http响应。包含了要发送给客户端的headers,cookies和相应内容。 一、3个事件相关的常量 const EVENT_BEFORE_SEND = 'beforeSend'; const EVENT_AFTER_SEND = 'afterSend'; const EVENT_AFTER_PREPARE = 'afterPrepare'; 二、响应内容格式 //响应内容
五十二、逐行阅读Yii2.0.43_Yii框架文件yii\web\Response.php(4)
mianhuatangVSyeyu的博客
11-22 322
一、sendFile方法,发送文件 // 发送文件 public function sendFile($filePath, $attachmentName = null, $options = []) { // mimeType设置 if (!isset($options['mimeType'])) { $options['mimeType'] = FileHelper::getMimeTypeByExtension($fi
四、逐行阅读Yii2.0.43源码_Yii框架文件BaseYii.php(2)
mianhuatangVSyeyu的博客
10-13 226
1. autoload方法, Yii框架的注册的自动加载函数,这个方法将优先于composer的autoload执行 解析顺序: 第一步:查找类映射 第二步:查找路径别名 /** * Yii框架的注册的自动加载函数, * 这个方法将优先于composer的autoload执行 */ public static function autoload($className) { if (isset(static::$classMap[$cla
[vulnhub] DarkHole: 1
weixin_46099552的博客
11-08 923
vulnhub - DarkHole: 1
RabbitMQ 与 PHP Swoole 实现
最新发布
学习,分享一直在路上
11-12 574
RabbitMQ 是一个开源的消息队列中间件,允许通过异步消息传递来解耦应用程序的各个部分。Swoole 是一个高性能的 PHP 扩展,支持异步编程和协程,适用于构建高并发的网络服务。将 RabbitMQ 与 Swoole 结合使用,可以构建高效、可扩展的应用程序。本文将介绍如何使用 RabbitMQ 和 PHP Swoole 实现一个简单的消息队列示例。使用 Docker 快速启动 RabbitMQ 实例
Latex中给公式加边框
Angelaboy的博客
11-08 417
Latex中给公式加边框
MDBook 使用指南
qq_39517117的博客
11-12 225
介绍了 MDBook 的基本使用方法,并演示了一个简单的构建过程。
Yii PHP框架高效开发web应用指南
通过阅读Yii web应用开发教程》,开发者可以学习到如何使用Yii框架进行项目规划、数据库设计、模型创建、视图渲染、控制器编写,以及如何利用Yii的组件和扩展来增强应用的功能。此外,书中还会介绍如何进行单元...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值