discuz authcode 经典php加密解密函数解析


Posted in PHP onJuly 12, 2020

authcode()并不是PHP的内置函数,它是康盛开发的一个使用异或运算进行加密和解密的函数,可以说这是康盛对中国的PHP界作出的重大贡献。康盛自己的产品如Discuz,UCenter等以及许多使用PHP的中国公司都用这个函数进行加密。在前面的ThinkPHP3.1.2整合UCenter详解(四)的同步登录中authcode()就扮演者重要的角色。在同步登录(从项目登录到UCenter)的过程中,authcode()把用户的登录信息进行加密,因为没有加密的数据在传递过程中容易被截取,这样会暴露了用户的信息,authcode()的作用就是给传递的数据提供加密保护作用。在数据到达终端(UCenter)时authcode()再把加密的数据进行反向解密,还原数据。通过下面的程序演示会让我们更了解authcode()以及同步登录的原理。

discuz的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密,authcode 是使用异或运算进行加密和解密。

原理如下,假如:

加密
明文:1010 1001
密匙:1110 0011
密文:0100 1010
得出密文0100 1010,解密之需和密匙异或下就可以了
解密
密文:0100 1010
密匙:1110 0011
明文:1010 1001
并没有什么高深的算法,密匙重要性很高,所以,关键在于怎么生成密匙。

那我们一起看下康盛的authcode怎么做的吧

// 参数解释
// $string: 明文 或 密文
// $operation:DECODE表示解密,其它表示加密
// $key: 密匙
// $expiry:密文有效期
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
    // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
    // 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。
    // 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方
    // 当此值为 0 时,则不产生随机密钥
    $ckey_length = 4;
 
    // 密匙
    $key = md5($key ? $key : $GLOBALS['discuz_auth_key']);
 
    // 密匙a会参与加解密
    $keya = md5(substr($key, 0, 16));
    // 密匙b会用来做数据完整性验证
    $keyb = md5(substr($key, 16, 16));
    // 密匙c用于变化生成的密文
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
    // 参与运算的密匙
    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);
    // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),解密时会通过这个密匙验证数据完整性
    // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);
    $result = '';
    $box = range(0, 255);
    $rndkey = array();
    // 产生密匙簿
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }
    // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上并不会增加密文的强度
    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }
    // 核心加解密部分
    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        // 从密匙簿得出密匙进行异或,再转成字符
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }
    if($operation == 'DECODE') {
        // substr($result, 0, 10) == 0 验证数据有效性
        // substr($result, 0, 10) - time() > 0 验证数据有效性
        // substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性
        // 验证数据有效性,请看未加密明文的格式
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    } else {
        // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
        // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
        return $keyc.str_replace('=', '', base64_encode($result));
    }
}

使用方法

$a = "3water.com";
$b = authcode($a, "ENCODE", "abc123");
echo $b."<br/>";
echo authcode($b, "DECODE", "abc123");

运行效果如下:

bf04VXLxyjHj2dS6UHYJvra/9Sm5irF/TBMHRMBtYejLTkUKQA
3water.com

注:因学习需要,转载挡笔记.文章来源于网络.

PHP 相关文章推荐
菜鸟学PHP之Smarty入门
Jan 04 PHP
检测png图片是否完整的php代码
Sep 06 PHP
解析PHP中empty is_null和isset的测试
Jun 29 PHP
php中用socket模拟http中post或者get提交数据的示例代码
Aug 08 PHP
php判断手机访问还是电脑访问示例分享
Jan 20 PHP
php中try catch捕获异常实例详解
Nov 21 PHP
分享php代码将360浏览器导出的favdb的sqlite数据库文件转换为html
Dec 09 PHP
分享PHP守护进程类
Dec 30 PHP
php使用gd2绘制基本图形示例(直线、圆、正方形)
Feb 15 PHP
php readfile下载大文件失败的解决方法
May 22 PHP
php图像验证码生成代码
Jun 08 PHP
Laravel5.5 实现后台管理登录的方法(自定义用户表登录)
Sep 30 PHP
php下使用SimpleXML 处理XML 文件
Feb 27 #PHP
PHP 导出数据到淘宝助手CSV的方法分享
Feb 27 #PHP
基于pear auth实现登录验证
Feb 26 #PHP
php str_pad() 将字符串填充成指定长度的字符串
Feb 23 #PHP
php 用checkbox一次性删除多条记录的方法
Feb 23 #PHP
PHP实现域名whois查询的代码(数据源万网、新网)
Feb 22 #PHP
PHP 伪静态隐藏传递参数名的四种方法
Feb 22 #PHP
You might like
php 执行系统命令的方法
2009/07/07 PHP
php下过滤html代码的函数 提高程序安全性
2010/03/02 PHP
php封装好的人民币数值转中文大写类
2015/12/20 PHP
PHP中empty,isset,is_null用法和区别
2017/02/19 PHP
javascript动态向网页中添加表格实现代码
2014/02/19 Javascript
网页右侧悬浮滚动在线qq客服代码示例
2014/04/28 Javascript
javascript模拟C#格式化字符串
2015/08/26 Javascript
JS中判断null的方法分析
2016/11/21 Javascript
微信小程序使用Socket的实例
2017/09/19 Javascript
Angular实现表单验证功能
2017/11/13 Javascript
实例详解Node.js 函数
2018/06/10 Javascript
Vue之mixin全局的用法详解
2018/08/22 Javascript
微信小程序scroll-view横向滑动嵌套for循环的示例代码
2018/09/20 Javascript
解决LayUI数据表格复选框不居中显示的问题
2019/09/25 Javascript
JS+HTML5本地存储Localstorage实现注册登录及验证功能示例
2020/02/10 Javascript
Python数据类型详解(一)字符串
2016/05/08 Python
Python解析excel文件存入sqlite数据库的方法
2016/11/15 Python
Python实现字符串格式化的方法小结
2017/02/20 Python
利用Python如何将数据写到CSV文件中
2018/06/05 Python
pandas求两个表格不相交的集合方法
2018/12/08 Python
python爬取微信公众号文章的方法
2019/02/26 Python
opencv3/C++实现视频背景去除建模(BSM)
2019/12/11 Python
nohup的用法
2012/11/26 面试题
优秀本科生求职推荐信
2014/02/24 职场文书
“学雷锋活动月”总结
2014/03/09 职场文书
成立公司计划书
2014/05/07 职场文书
党支部换届选举方案
2014/05/08 职场文书
阳光体育活动实施方案
2014/05/25 职场文书
2014国庆节国旗下演讲稿(精选版)
2014/09/26 职场文书
在教室放鞭炮的检讨书
2014/09/28 职场文书
募捐感谢信
2015/01/22 职场文书
小学毕业教师寄语
2019/06/21 职场文书
Java实现多线程聊天室
2021/06/26 Java/Android
nginx容器方式反向代理实战
2022/04/18 Servers
Go获取两个时区的时间差
2022/04/20 Golang
mysqldump进行数据备份详解
2022/07/15 MySQL