php 令牌验证 原理,PHP Token(令牌)设计

最新推荐文章于 2024-05-30 22:18:20 发布
最新推荐文章于 2024-05-30 22:18:20 发布
阅读量310 收藏
点赞数
文章标签: php 令牌验证 原理

PHP Token(令牌)设计

设计目标:

避免重复提交数据.

检查来路,是否是外部提交

匹配要执行的动作(如果有多个逻辑在同一个页面实现,比如新增,删除,修改放到一个PHP文件里操作)

这里所说的token是在页面显示的时候,写到FORM的一个隐藏表单项(type=hidden).

token不可明文,如果是明文,那就太危险了,所以要采用一定的加密方式.密文要可逆.俺算法很白痴,所以采用了网上一个现成的方法.

如何达到目的:

怎样避免重复提交?

在SESSION里要存一个数组,这个数组存放以经成功提交的token.在后台处理时,先判断这个token是否在这个数组里,如果存在,说明是重复提交.

如何检查来路?

可选项,这个token在生成的时候,加入了当前的session_id.如果别人copy你的html(token一迸copy),在提交时,理论上token里包含的session_id不等于当前session_id,就可以判断这次提交是外部提交.

如何匹配要执行的动作?

在token的时候,要把这个token的动作名称写进这个token里,这样,在处理的时候,把这个动作解出来进行比较就行了.

我以前写的GToken不能达到上面所说的第二条,今天修改了一下,把功能2加上了.个人感觉还行.

请大家看代码,感觉哪里有不合理的地方,还请赐教!谢谢.

加密我是找的网上的一个方法,稍作了一下修改.

GEncrypt.inc.php:

class GEncrypt extends GSuperclass {

protected static function keyED($txt,$encrypt_key){

$encrypt_key = md5($encrypt_key);

$ctr=0;

$tmp = "";

for ($i=0;$i

if ($ctr==strlen($encrypt_key)) $ctr=0;

$tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);

$ctr++;

}

return $tmp;

}

public static function encrypt($txt,$key){

//$encrypt_key = md5(rand(0,32000));

$encrypt_key = md5(((float) date("YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));

$ctr=0;

$tmp = "";

for ($i=0;$i

if ($ctr==strlen($encrypt_key)) $ctr=0;

$tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));

$ctr++;

}

return base64_encode(self::keyED($tmp,$key));

}

public static function decrypt($txt,$key){

$txt = self::keyED( base64_decode($txt),$key);

$tmp = "";

for ($i=0;$i

$md5 = substr($txt,$i,1);

$i++;

$tmp.= (substr($txt,$i,1) ^ $md5);

}

return $tmp;

}

}

?>

GToken.inc.php

方法:

a,granteToken 参数:formName,即动作名称,key是加密/解密 密钥.

返回一个字符串,形式是: 加密(formName:session_id)

b,isToken 参数:token 即granteToken产生的结果,formName,动作名称,fromCheck是否检查来路,如果为真,还要判断token里的session_id是否和当前的session_id一至.

c,dropToken,当成功执行一个动作后,调用这个函数,把这个token记入session里,

/**

* 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action)

* 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。

*

*/

class GToken {

/**

* 得到当前所有的token

*

* @return array

*/

public static function getTokens(){

$tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];

if (empty($tokens) && !is_array($tokens)) {

$tokens = array();

}

return $tokens;

}

/**

* 产生一个新的Token

*

* @param string $formName

* @param 加密密钥 $key

* @return string

*/

public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){

$token = GEncrypt::encrypt($formName.":".session_id(),$key);

return $token;

}

/**

* 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。

*

* @param string $token

*/

public static function dropToken($token){

$tokens = self::getTokens();

$tokens[] = $token;

GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);

}

/**

* 检查是否为指定的Token

*

* @param string $token    要检查的token值

* @param string $formName

* @param boolean $fromCheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.

* @param string $key 加密密钥

* @return boolean

*/

public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){

$tokens = self::getTokens();

if (in_array($token,$tokens)) //如果存在,说明是以使用过的token

return false;

$source = split(":", GEncrypt::decrypt($token,$key));

if($fromCheck)

return $source[1] == session_id() && $source[0] == $formName;

else

return $source[0] == $formName;

}

}

?>示例:

首先从$_POST里取出token,用isToken判断.

b6b5c43e106fc67ee2e2393a0c051f67.gif 下载此文件这一切看着似乎是没有问题了.

如果想判断是否是执行的匹配动作,可以把isToken里的formName改一下,运行,很好,没有匹配上.证明这个成功.

是否能避免重复提交,我没有验证,太简单的逻辑了.

余下的就是判断 来路检查 是否正常工作了.

把上面的示例产生的html copy到本地的一个网页内(以达到不同的域的目的),运行,检查来路不明,没有执行动作(需要把isToken的第三个参数设为true).

把isToken的第三个参数设置为false,提交,指定的动作执行了!

好了,到此为止,不知道哪个地方是否还存在BUG,这就要在长期运用中慢慢调试修改了!

weixin_39586526
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP token的生成算法
JineD的博客
11-19 6068
md5 的方式: 1 2 3 4 $v= 1;// 自己定义的 需要hash 的value 值 $key= mt_rand();// 这里用 随机串作为key $hash= md5($key.$v. mt_rand() . time()); echo$hash; 执行结果:b63426a38f86b726ce0d327d48e47376看着不是很舒服, 作为强迫症的我 是受不了的. md5 +...
php 令牌验证 原理,深入理解令牌认证机制(token
weixin_30282917的博客
03-10 1231
以前的开发模式是以MVC为主,但是随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。token即标志、记号的意思,在IT领域也叫作令牌。在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操...
ctfshow web刷题
最新发布
2303_77961060的博客
05-30 613
ctf.show_红包题第六弹
PHP多参数token生成与校验
一个人的Code博客
04-26 2300
1、密钥设置 public $secret_key = 'hgakdfkljalfdjlk';//私钥 2、调用方式 $info = ['user_id' => 1]; //生成密钥 $this->CreateToken( $info , 60 ); //校验密钥 $this->CheckToken($token); 3、基础方法 /** *功能:生成token *参数一:需要解密的密文 *参数二:密钥 */ funct
token实现登录状态保持/身份认证的机制
FloraCat_染小白
12-19 2万+
实现登录状态保持与身份认证的方式通常有两种:session结合数据库、token。 两者相比较,token有较多优点。 ① token可以存储在任何位置(比如cookie或local storage) ② token更容易跨域 ③ token过期时可以通过刷新token,让用户一直保持有效登录 ④ 如果api在不同终端上,token更方便安全   二、token原理 其过程大致...
php生成随机码做token,随机生成token
weixin_39630182的博客
04-15 514
function genToken( $len = 32, $md5 = true ) {# Seed random number generator# Only needed for PHP versions prior to 4.2mt_srand( (double)microtime()*1000000 );# Array of characters, adjust as desired$c...
PHP实现防止表单重复提交功能【基于token验证
10-18
首先,我们需要理解token的工作原理。在用户提交表单时,服务器会生成一个唯一的、随机的令牌token),并将其隐藏在表单中,通常作为一个隐藏字段。当表单被提交时,这个令牌会被一起发送到服务器。服务器会检查这...
php实现滑动验证demo
11-17
4. **安全考虑**:为了防止XSS和CSRF攻击,确保请求的真实性,我们应使用HTTPS协议,并在提交验证请求时添加令牌token)。这个令牌应该在页面加载时生成,并在验证请求中检查其有效性。 在提供的"PHP实现滑动验证...
branca-php:使用现代加密技术进行身份验证和加密的API令牌
05-27
使用现代加密技术进行身份验证和加密的API令牌。 什么? 是一种易于使用的安全令牌格式,很难用脚射击。 它使用IETF XChaCha20-Poly1305 AEAD对称加密来创建加密和防篡改令牌。 有效载荷本身是字节的任意序列。 ...
laravel-token-demo:定制Laravel API令牌认证教程的演示
03-22
Laravel的自定义API令牌身份验证 这是相关的dev.to文章和教程的演示仓库。 请在dev.to上找到它,Laravel的 关于 该演示应用程序具有本教程中介绍的令牌身份验证方法,因此,如果您只是想查看实际运行中的内容,则...
Android-Token-Authentication:使用客户端服务器令牌身份验证对用户进行身份验证,以保护您的应用程序
05-18
Android客户端服务器令牌认证第一步是在...}这将从JSON中读取用户ID和令牌,并使用其令牌验证用户。 当令牌没有数学运算时,print_r是您想要发送回应用程序的任何消息exit(0)将停止其余的php文件,因为它们尚未经过验
微信接口token验证和消息回复原理
10-12
微信接口token验证和消息回复原理,其中有详细的注释说明,帮助您理解微信的接口实现,和实现消息的回复,是微信接口开发的入口,可是先自动回复机器人的开发。
php token封装类,4-1 PhpToken
weixin_33860377的博客
03-12 179
**一.PhpToken类简介**#Token令牌生成器类```class PhpToken implements Stringable {/*** One of the T_* constants, or an integer < 256 representing a single-char token.*/public int $id;/** The textual content of...
php随机生成token函数,以及加密生成sha1
qq_42177117的博客
09-26 775
//生成token随机数的方法 function token($length = 32) { // Create random token $string = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'; $max = strlen($string) - 1; $token = ''; for ($i = 0; $i < $length; $i++) { $token .= $string[
thinkphp如何使用令牌防止表单重复提交
Alvin博客
08-30 318
thinkphp的表单如何使用令牌功能,如何防止表单重复提交? thinkphp框架中已经定义好了令牌功能,我们只需要按照格式配置和启用就可以了。 令牌的使用思路? 首先需要在thinkphp的配置文件中添加令牌参数,配置参数如下图: //令牌配置文件 'TOKEN_ON'=>true, // 是否开启令牌验证 'TOKEN_NAME'=>'...
PHP 防止或检测页面被刷新 post重复提交问题
07-18 811
其实最好的办法是用ajax来提交表单,这样的话,只有点击提交按钮,表单才会提交.也就没必要检测刷新问题了.在解决post重复提交问题时,经过测试.没办法通过php检测是否被刷新.一般是通过js还判断。比如在用户填写收货人的页面,就收集用户的post信息,通过ajax在后台提交订单.代码演示。但都没法禁止post页面被重复提交。......
PHP使用 tokent (令牌)进行登录
Dennis_ukagaka的博客
05-09 1万+
1. 为什么要使用tokent进行登录 前后端分离或者为了支持多个web应用,那么原来的cookies或者session在使用上就会有很大的问题 cookie和session认证需要在同一主域名下才可以进行认证(目前可以把session存储在redis内进行解决)。 2. 解决方案 oauth2 和 jwt jwt :是一种安全标准。基本思路就是用户提供用户名和密码给认证服...
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
php token生成规则_PHP token验证生成原理实例分析
weixin_35252964的博客
01-28 473
本文实例讲述了PHP token验证生成原理。分享给大家供大家参考,具体如下:/*** @Author: Ding Jianlong* @Date: 2019-03-20 00:38:01* @Last Modified by: Ding Jianlong* @Last Modified time: 2019-03-22 17:50:59*///生成发送请求的验证 token//这里的key可...
php Jwt 登陆验证
04-08
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种基于JSON的安全令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 在PHP中使用JWT进行登录验证的步骤如下: 1. 安装依赖:使用Composer安装`firebase/php-jwt`库,该库提供了JWT的相关功能。 2. 生成Token:在用户登录成功后,服务器可以生成一个JWT Token并返回给客户端。生成Token的过程包括设置有效载荷信息、设置过期时间、设置密钥等。 ```php use \Firebase\JWT\JWT; // 设置有效载荷信息 $payload = array( "user_id" => $user_id, "username" => $username ); // 设置过期时间 $expiration_time = time() + 3600; // 1小时后过期 // 设置密钥 $secret_key = "your_secret_key"; // 生成Token $token = JWT::encode($payload, $secret_key); ``` 3. 验证Token:在客户端发送请求时,将Token放在请求头或请求参数中。服务器接收到请求后,需要验证Token的有效性和完整性。 ```php use \Firebase\JWT\JWT; // 获取Token $token = $_SERVER['HTTP_AUTHORIZATION']; // 设置密钥 $secret_key = "your_secret_key"; try { // 验证Token $decoded = JWT::decode($token, $secret_key, array('HS256')); // Token验证通过,可以获取有效载荷信息 $user_id = $decoded->user_id; $username = $decoded->username; } catch (Exception $e) { // Token验证失败 // 处理验证失败的逻辑 } ``` 以上是使用PHP进行JWT登录验证的基本步骤。通过JWT,服务器可以生成一个安全的Token,并在每次请求时验证Token的有效性,从而实现用户身份的验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值