discuz authcode 经典php加密解密函数解析


Posted in PHP onJuly 12, 2020

authcode()并不是PHP的内置函数,它是康盛开发的一个使用异或运算进行加密和解密的函数,可以说这是康盛对中国的PHP界作出的重大贡献。康盛自己的产品如Discuz,UCenter等以及许多使用PHP的中国公司都用这个函数进行加密。在前面的ThinkPHP3.1.2整合UCenter详解(四)的同步登录中authcode()就扮演者重要的角色。在同步登录(从项目登录到UCenter)的过程中,authcode()把用户的登录信息进行加密,因为没有加密的数据在传递过程中容易被截取,这样会暴露了用户的信息,authcode()的作用就是给传递的数据提供加密保护作用。在数据到达终端(UCenter)时authcode()再把加密的数据进行反向解密,还原数据。通过下面的程序演示会让我们更了解authcode()以及同步登录的原理。

discuz的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密,authcode 是使用异或运算进行加密和解密。

原理如下,假如:

加密
明文:1010 1001
密匙:1110 0011
密文:0100 1010
得出密文0100 1010,解密之需和密匙异或下就可以了
解密
密文:0100 1010
密匙:1110 0011
明文:1010 1001
并没有什么高深的算法,密匙重要性很高,所以,关键在于怎么生成密匙。

那我们一起看下康盛的authcode怎么做的吧

// 参数解释
// $string: 明文 或 密文
// $operation:DECODE表示解密,其它表示加密
// $key: 密匙
// $expiry:密文有效期
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
    // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
    // 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。
    // 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方
    // 当此值为 0 时,则不产生随机密钥
    $ckey_length = 4;
 
    // 密匙
    $key = md5($key ? $key : $GLOBALS['discuz_auth_key']);
 
    // 密匙a会参与加解密
    $keya = md5(substr($key, 0, 16));
    // 密匙b会用来做数据完整性验证
    $keyb = md5(substr($key, 16, 16));
    // 密匙c用于变化生成的密文
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
    // 参与运算的密匙
    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);
    // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),解密时会通过这个密匙验证数据完整性
    // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);
    $result = '';
    $box = range(0, 255);
    $rndkey = array();
    // 产生密匙簿
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }
    // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上并不会增加密文的强度
    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }
    // 核心加解密部分
    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        // 从密匙簿得出密匙进行异或,再转成字符
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }
    if($operation == 'DECODE') {
        // substr($result, 0, 10) == 0 验证数据有效性
        // substr($result, 0, 10) - time() > 0 验证数据有效性
        // substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性
        // 验证数据有效性,请看未加密明文的格式
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    } else {
        // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
        // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
        return $keyc.str_replace('=', '', base64_encode($result));
    }
}

使用方法

$a = "3water.com";
$b = authcode($a, "ENCODE", "abc123");
echo $b."<br/>";
echo authcode($b, "DECODE", "abc123");

运行效果如下:

bf04VXLxyjHj2dS6UHYJvra/9Sm5irF/TBMHRMBtYejLTkUKQA
3water.com

注:因学习需要,转载挡笔记.文章来源于网络.

PHP 相关文章推荐
在任意字符集下正常显示网页的方法二(续)
Apr 01 PHP
PHP三层结构(上) 简单三层结构
Jul 04 PHP
phpMyAdmin 链接表的附加功能尚未激活的问题
Aug 01 PHP
用PHP实现 上一篇、下一篇的代码
Sep 29 PHP
PHP小技巧之函数重载
Jun 02 PHP
php计算指定目录下文件占用空间的方法
Mar 13 PHP
PHP数组相关函数汇总
Mar 24 PHP
PHP7之Mongodb API使用详解
Dec 26 PHP
php数据访问之查询关键字
May 09 PHP
PHP中的使用curl发送请求(GET请求和POST请求)
Feb 08 PHP
laravel自定义分页效果
Jul 23 PHP
PHP使用SOAP调用API操作示例
Dec 25 PHP
php下使用SimpleXML 处理XML 文件
Feb 27 #PHP
PHP 导出数据到淘宝助手CSV的方法分享
Feb 27 #PHP
基于pear auth实现登录验证
Feb 26 #PHP
php str_pad() 将字符串填充成指定长度的字符串
Feb 23 #PHP
php 用checkbox一次性删除多条记录的方法
Feb 23 #PHP
PHP实现域名whois查询的代码(数据源万网、新网)
Feb 22 #PHP
PHP 伪静态隐藏传递参数名的四种方法
Feb 22 #PHP
You might like
实用函数3
2007/11/08 PHP
Joomla开启SEF的方法
2016/05/04 PHP
js判断变量是否空值的代码
2008/10/26 Javascript
jQuery ui 1.7更新小结
2009/08/15 Javascript
jquery 学习之二 属性相关
2010/11/23 Javascript
对xmlHttp对象方法和属性的理解
2011/01/17 Javascript
公共js在页面底部加载的注意事项介绍
2013/07/18 Javascript
浏览器页面区域大小的js获取方法
2013/09/21 Javascript
js Array操作的最简短最容易理解方法
2013/12/09 Javascript
JavaScript动态设置div的样式的方法
2015/12/26 Javascript
轻松搞定jQuery.noConflict()
2016/02/15 Javascript
详解tween.js 中文使用指南
2018/01/05 Javascript
d3.js实现自定义多y轴折线图的示例代码
2018/05/30 Javascript
vue 本地环境跨域请求proxyTable的方法
2018/09/19 Javascript
C#程序员入门学习微信小程序的笔记
2019/03/05 Javascript
vue 实现小程序或商品秒杀倒计时
2019/04/14 Javascript
js 下拉菜单点击旁边收起实现(踩坑记)
2019/09/29 Javascript
js里面的变量范围分享
2020/07/18 Javascript
Python里disconnect UDP套接字的方法
2015/04/23 Python
python tkinter实现屏保程序
2019/07/30 Python
python实现超市商品销售管理系统
2019/11/22 Python
Python面向对象之多态原理与用法案例分析
2019/12/30 Python
Python小白垃圾回收机制入门
2020/06/09 Python
浅谈Django前端后端值传递问题
2020/07/15 Python
AmazeUI底部导航栏与分享按钮的示例代码
2020/08/18 HTML / CSS
swtich是否能作用在byte上,是否能作用在long上,是否能作用在String上?
2013/03/30 面试题
最受欢迎的自我评价
2013/12/22 职场文书
大学生会计职业生涯规划范文
2014/02/28 职场文书
2014年辅导员工作总结
2014/11/18 职场文书
2014会计年终工作总结
2014/12/20 职场文书
酒店辞职书怎么写
2015/02/26 职场文书
2015年医院后勤工作总结
2015/05/20 职场文书
超市店长竞聘书
2015/09/15 职场文书
2016年寒假社会实践活动心得体会
2015/10/09 职场文书
Nginx配置并兼容HTTP实现代码解析
2021/03/31 Servers
恶魔之树最顶端的三颗果实 震震果实上榜,第一可以制造岩浆
2022/03/18 日漫