discuz authcode 经典php加密解密函数解析


Posted in PHP onJuly 12, 2020

authcode()并不是PHP的内置函数,它是康盛开发的一个使用异或运算进行加密和解密的函数,可以说这是康盛对中国的PHP界作出的重大贡献。康盛自己的产品如Discuz,UCenter等以及许多使用PHP的中国公司都用这个函数进行加密。在前面的ThinkPHP3.1.2整合UCenter详解(四)的同步登录中authcode()就扮演者重要的角色。在同步登录(从项目登录到UCenter)的过程中,authcode()把用户的登录信息进行加密,因为没有加密的数据在传递过程中容易被截取,这样会暴露了用户的信息,authcode()的作用就是给传递的数据提供加密保护作用。在数据到达终端(UCenter)时authcode()再把加密的数据进行反向解密,还原数据。通过下面的程序演示会让我们更了解authcode()以及同步登录的原理。

discuz的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密,authcode 是使用异或运算进行加密和解密。

原理如下,假如:

加密
明文:1010 1001
密匙:1110 0011
密文:0100 1010
得出密文0100 1010,解密之需和密匙异或下就可以了
解密
密文:0100 1010
密匙:1110 0011
明文:1010 1001
并没有什么高深的算法,密匙重要性很高,所以,关键在于怎么生成密匙。

那我们一起看下康盛的authcode怎么做的吧

// 参数解释
// $string: 明文 或 密文
// $operation:DECODE表示解密,其它表示加密
// $key: 密匙
// $expiry:密文有效期
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
    // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
    // 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。
    // 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方
    // 当此值为 0 时,则不产生随机密钥
    $ckey_length = 4;
 
    // 密匙
    $key = md5($key ? $key : $GLOBALS['discuz_auth_key']);
 
    // 密匙a会参与加解密
    $keya = md5(substr($key, 0, 16));
    // 密匙b会用来做数据完整性验证
    $keyb = md5(substr($key, 16, 16));
    // 密匙c用于变化生成的密文
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
    // 参与运算的密匙
    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);
    // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),解密时会通过这个密匙验证数据完整性
    // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);
    $result = '';
    $box = range(0, 255);
    $rndkey = array();
    // 产生密匙簿
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }
    // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上并不会增加密文的强度
    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }
    // 核心加解密部分
    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        // 从密匙簿得出密匙进行异或,再转成字符
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }
    if($operation == 'DECODE') {
        // substr($result, 0, 10) == 0 验证数据有效性
        // substr($result, 0, 10) - time() > 0 验证数据有效性
        // substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性
        // 验证数据有效性,请看未加密明文的格式
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    } else {
        // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
        // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
        return $keyc.str_replace('=', '', base64_encode($result));
    }
}

使用方法

$a = "3water.com";
$b = authcode($a, "ENCODE", "abc123");
echo $b."<br/>";
echo authcode($b, "DECODE", "abc123");

运行效果如下:

bf04VXLxyjHj2dS6UHYJvra/9Sm5irF/TBMHRMBtYejLTkUKQA
3water.com

注:因学习需要,转载挡笔记.文章来源于网络.

PHP 相关文章推荐
ajax缓存问题解决途径
Dec 06 PHP
用PHP连接MySQL代码的参数说明
Jun 07 PHP
php URL跳转代码 减少外链
Jun 25 PHP
浅析php中常量,变量的作用域和生存周期
Aug 10 PHP
php中限制ip段访问、禁止ip提交表单的代码分享
Aug 22 PHP
php中动态修改ini配置
Oct 14 PHP
php连接与操作PostgreSQL数据库的方法
Dec 25 PHP
PHP 在数组中搜索给定的简单实例 array_search 函数
Jun 13 PHP
微信公众号判断用户是否已关注php代码解析
Jun 24 PHP
thinkPHP5.0框架引入Traits功能实例分析
Mar 18 PHP
php中类和对象:静态属性、静态方法
Apr 09 PHP
PHP iconv()函数字符编码转换的问题讲解
Mar 22 PHP
php下使用SimpleXML 处理XML 文件
Feb 27 #PHP
PHP 导出数据到淘宝助手CSV的方法分享
Feb 27 #PHP
基于pear auth实现登录验证
Feb 26 #PHP
php str_pad() 将字符串填充成指定长度的字符串
Feb 23 #PHP
php 用checkbox一次性删除多条记录的方法
Feb 23 #PHP
PHP实现域名whois查询的代码(数据源万网、新网)
Feb 22 #PHP
PHP 伪静态隐藏传递参数名的四种方法
Feb 22 #PHP
You might like
使用PHP会话(Session)实现用户登陆功能
2013/06/29 PHP
一个非常实用的php文件上传类
2017/07/04 PHP
php两点地理坐标距离的计算方法
2018/12/29 PHP
Javascript 面向对象编程(一) 封装
2011/08/28 Javascript
JavaScript 更严格的相等 [译]
2012/09/20 Javascript
javascript 动态创建表格的2种方法总结
2015/03/04 Javascript
JavaScript控制按钮可用或不可用的方法
2015/04/03 Javascript
JavaScript DOM元素尺寸和位置
2015/04/13 Javascript
实例代码讲解jquery easyui动态tab页
2015/11/17 Javascript
jQuery实现简单滚动动画效果
2016/04/07 Javascript
javascript十六进制数字和ASCII字符之间的转换方法
2016/12/27 Javascript
React之PureComponent的使用作用
2018/07/10 Javascript
js最实用string(字符串)类型的使用及截取与拼接详解
2019/04/26 Javascript
原生javascript制作贪吃蛇小游戏的方法分析
2020/02/26 Javascript
js+css3实现简单时钟特效
2020/09/13 Javascript
[02:53]2018年度DOTA2最佳战队-完美盛典
2018/12/17 DOTA
flask中使用SQLAlchemy进行辅助开发的代码
2013/02/10 Python
Python代码的打包与发布详解
2014/07/30 Python
python ChainMap的使用和说明详解
2019/06/11 Python
python实现对象列表根据某个属性排序的方法详解
2019/06/11 Python
Python PIL读取的图像发生自动旋转的实现方法
2019/07/05 Python
python的链表基础知识点
2020/09/13 Python
HTML5离线缓存在tomcat下部署可实现图片flash等离线浏览
2012/12/13 HTML / CSS
美国宠物商店:Wag.com
2016/10/25 全球购物
Amcal中文官网:澳洲综合性连锁药房
2019/03/28 全球购物
酒店行政人事部经理职务说明书
2014/02/26 职场文书
行政人事岗位职责
2014/03/17 职场文书
安全生产专项整治方案
2014/05/06 职场文书
年终晚会活动方案
2014/08/21 职场文书
酒店前台接待岗位职责
2015/04/02 职场文书
务工证明怎么写
2015/06/18 职场文书
美德少年事迹材料(2016推荐版)
2016/02/25 职场文书
正确的理解和使用Django信号(Signals)
2021/04/14 Python
36个正则表达式(开发效率提高80%)
2021/11/17 Javascript
Python实现提取PDF简历信息并存入Excel
2022/04/02 Python
Golang入门之计时器
2022/05/04 Golang