PHP Token(令牌)设计


Posted in PHP onMarch 15, 2008

如何达到目的:

怎样避免重复提交?
在SESSION里要存一个数组,这个数组存放以经成功提交的token.在后台处理时,先判断这个token是否在这个数组里,如果存在,说明是重复提交. 
如何检查来路?
可选项,这个token在生成的时候,加入了当前的session_id.如果别人copy你的html(token一迸copy),在提交时,理论上token里包含的session_id不等于当前session_id,就可以判断这次提交是外部提交. 
如何匹配要执行的动作?
在token的时候,要把这个token的动作名称写进这个token里,这样,在处理的时候,把这个动作解出来进行比较就行了.
我以前写的GToken不能达到上面所说的第二条,今天修改了一下,把功能2加上了.个人感觉还行.
请大家看代码,感觉哪里有不合理的地方,还请赐教!谢谢.

加密我是找的网上的一个方法,稍作了一下修改.

GEncrypt.inc.php:

<?php  
class GEncrypt extends GSuperclass {  
    protected static function keyED($txt,$encrypt_key){     
        $encrypt_key = md5($encrypt_key);     
        $ctr=0;     
        $tmp = "";     
        for ($i=0;$i<strlen($txt);$i++){     
            if ($ctr==strlen($encrypt_key)) $ctr=0;     
            $tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);     
            $ctr++;     
        }     
        return $tmp;     
    }      public static function encrypt($txt,$key){     
        //$encrypt_key = md5(rand(0,32000));  
        $encrypt_key = md5(((float) date("YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));  
        $ctr=0;     
        $tmp = "";     
        for ($i=0;$i<strlen($txt);$i++){  
            if ($ctr==strlen($encrypt_key)) $ctr=0;     
            $tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));     
            $ctr++;     
        }     
        return base64_encode(self::keyED($tmp,$key));  
    }  
    public static function decrypt($txt,$key){  
        $txt = self::keyED( base64_decode($txt),$key);     
        $tmp = "";  
        for ($i=0;$i<strlen($txt);$i++){     
            $md5 = substr($txt,$i,1);     
            $i++;     
            $tmp.= (substr($txt,$i,1) ^ $md5);     
        }  
        return $tmp;  
    }      
}  
?> 

GToken.inc.php
方法:

a,granteToken 参数:formName,即动作名称,key是加密/解密 密钥.
返回一个字符串,形式是: 加密(formName:session_id)

b,isToken 参数:token 即granteToken产生的结果,formName,动作名称,fromCheck是否检查来路,如果为真,还要判断token里的session_id是否和当前的session_id一至.

c,dropToken,当成功执行一个动作后,调用这个函数,把这个token记入session里,

<?php  
/**  
* 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action)  
* 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。  
*  
*/  
class GToken {      /**  
     * 得到当前所有的token  
     *  
     * @return array  
     */  
    public static function getTokens(){  
        $tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];  
        if (empty($tokens) && !is_array($tokens)) {  
            $tokens = array();  
        }  
        return $tokens;  
    }  
    /**  
     * 产生一个新的Token  
     *  
     * @param string $formName  
     * @param 加密密钥 $key  
     * @return string  
     */  
    public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){  
        $token = GEncrypt::encrypt($formName.":".session_id(),$key);  
        return $token;  
    }  
    /**  
     * 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。  
     *  
     * @param string $token  
     */  
    public static function dropToken($token){  
        $tokens = self::getTokens();  
        $tokens[] = $token;  
        GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);  
    }  
    /**  
     * 检查是否为指定的Token  
     *  
     * @param string $token    要检查的token值  
     * @param string $formName  
     * @param boolean $fromCheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.  
     * @param string $key 加密密钥  
     * @return boolean  
     */  
    public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){  
        $tokens = self::getTokens();  
        if (in_array($token,$tokens)) //如果存在,说明是以使用过的token  
            return false;  
        $source = split(":", GEncrypt::decrypt($token,$key));  
        if($fromCheck)  
            return $source[1] == session_id() && $source[0] == $formName;  
        else  
            return $source[0] == $formName;  
    }  
}  
?> 
示例:

首先从$_POST里取出token,用isToken判断.

PHP Token(令牌)设计下载此文件这一切看着似乎是没有问题了.
如果想判断是否是执行的匹配动作,可以把isToken里的formName改一下,运行,很好,没有匹配上.证明这个成功.

是否能避免重复提交,我没有验证,太简单的逻辑了.

余下的就是判断 来路检查 是否正常工作了.
把上面的示例产生的html copy到本地的一个网页内(以达到不同的域的目的),运行,检查来路不明,没有执行动作(需要把isToken的第三个参数设为true).
把isToken的第三个参数设置为false,提交,指定的动作执行了!

好了,到此为止,不知道哪个地方是否还存在BUG,这就要在长期运用中慢慢调试修改了!

PHP 相关文章推荐
怎样在php中使用PDF文档功能
Oct 09 PHP
PHP缩略图等比例无损压缩,可填充空白区域补充色
Jun 10 PHP
采用PHP函数memory_get_usage获取PHP内存清耗量的方法
Dec 06 PHP
PHP 查找字符串常用函数介绍
Jun 07 PHP
php中的静态变量的基本用法
Mar 20 PHP
php判断文件夹是否存在不存在则创建
Apr 09 PHP
php统计数组元素个数的方法
Jul 02 PHP
php图片添加文字水印实现代码
Mar 15 PHP
非常有用的9个PHP代码片段
Apr 06 PHP
PHP 7.1中AES加解密方法mcrypt_module_open()的替换方案
Oct 17 PHP
Django 标签筛选的实现代码(一对多、多对多)
Sep 05 PHP
laravel 如何实现引入自己的函数或类库
Oct 15 PHP
php项目打包方法
Feb 18 #PHP
PHP4与PHP5的时间格式问题
Feb 17 #PHP
PHP5 面向对象程序设计
Feb 13 #PHP
Dedecms常用函数解析
Feb 01 #PHP
用php实现批量查询清除一句话后门的代码
Jan 20 #PHP
asp和php下textarea提交大量数据发生丢失的解决方法
Jan 20 #PHP
php开发工具之vs2005图解
Jan 12 #PHP
You might like
php强制下载类型的实现代码
2011/04/21 PHP
[原创]CI(CodeIgniter)简单统计访问人数实现方法
2016/01/19 PHP
常用参考资料(手册)下载或者链接
2006/07/22 Javascript
firefox中JS读取XML文件
2006/12/21 Javascript
JavaScript获取GridView中用户点击控件的行号,列号
2009/04/14 Javascript
event.keyCode键码值表 附只能输入特定的字符串代码
2009/05/15 Javascript
javascript通过class来获取元素实现代码
2013/02/20 Javascript
jquery 构造函数在表单提交过程中修改数据
2015/05/25 Javascript
浅析JavaScript作用域链、执行上下文与闭包
2016/02/01 Javascript
js流动式效果显示当前系统时间
2016/05/16 Javascript
浅谈js继承的实现及公有、私有、静态方法的书写
2016/10/28 Javascript
nodejs的压缩文件模块archiver用法示例
2017/01/18 NodeJs
原生JavaScript实现Tooltip浮动提示框特效
2017/03/07 Javascript
微信小程序使用video组件播放视频功能示例【附源码下载】
2017/12/08 Javascript
javascript数组拍平方法总结
2018/01/20 Javascript
vue开发环境配置跨域的方法步骤
2019/01/16 Javascript
使用Node.js在深度学习中做图片预处理的方法
2019/09/18 Javascript
[01:16:37]【全国守擂赛】第三周决赛 Dark Knight vs. 一个弱队
2020/05/04 DOTA
python数组复制拷贝的实现方法
2015/06/09 Python
200 行python 代码实现 2048 游戏
2018/01/12 Python
Django中针对基于类的视图添加csrf_exempt实例代码
2018/02/11 Python
python3使用SMTP发送简单文本邮件
2018/06/19 Python
细数nn.BCELoss与nn.CrossEntropyLoss的区别
2020/02/29 Python
python实现简单文件读写函数
2021/02/25 Python
全球最大最受欢迎的旅游社区:Tripadvisor
2017/11/03 全球购物
SQL Server笔试题
2012/01/10 面试题
车间工艺员岗位职责
2013/12/09 职场文书
高中地理教学反思
2014/01/29 职场文书
大学毕业自我鉴定范文
2014/02/03 职场文书
激情洋溢的毕业生就业求职信
2014/03/15 职场文书
企业晚会策划方案
2014/05/29 职场文书
在校实习生求职信
2014/06/18 职场文书
公司聚餐通知
2015/04/22 职场文书
nginx如何将http访问的网站改成https访问
2021/03/31 Servers
Python编程super应用场景及示例解析
2021/10/05 Python
SQL SERVER触发器详解
2022/02/24 SQL Server