PHP Token(令牌)设计


Posted in PHP onMarch 15, 2008

如何达到目的:

怎样避免重复提交?
在SESSION里要存一个数组,这个数组存放以经成功提交的token.在后台处理时,先判断这个token是否在这个数组里,如果存在,说明是重复提交. 
如何检查来路?
可选项,这个token在生成的时候,加入了当前的session_id.如果别人copy你的html(token一迸copy),在提交时,理论上token里包含的session_id不等于当前session_id,就可以判断这次提交是外部提交. 
如何匹配要执行的动作?
在token的时候,要把这个token的动作名称写进这个token里,这样,在处理的时候,把这个动作解出来进行比较就行了.
我以前写的GToken不能达到上面所说的第二条,今天修改了一下,把功能2加上了.个人感觉还行.
请大家看代码,感觉哪里有不合理的地方,还请赐教!谢谢.

加密我是找的网上的一个方法,稍作了一下修改.

GEncrypt.inc.php:

<?php  
class GEncrypt extends GSuperclass {  
    protected static function keyED($txt,$encrypt_key){     
        $encrypt_key = md5($encrypt_key);     
        $ctr=0;     
        $tmp = "";     
        for ($i=0;$i<strlen($txt);$i++){     
            if ($ctr==strlen($encrypt_key)) $ctr=0;     
            $tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);     
            $ctr++;     
        }     
        return $tmp;     
    }      public static function encrypt($txt,$key){     
        //$encrypt_key = md5(rand(0,32000));  
        $encrypt_key = md5(((float) date("YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));  
        $ctr=0;     
        $tmp = "";     
        for ($i=0;$i<strlen($txt);$i++){  
            if ($ctr==strlen($encrypt_key)) $ctr=0;     
            $tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));     
            $ctr++;     
        }     
        return base64_encode(self::keyED($tmp,$key));  
    }  
    public static function decrypt($txt,$key){  
        $txt = self::keyED( base64_decode($txt),$key);     
        $tmp = "";  
        for ($i=0;$i<strlen($txt);$i++){     
            $md5 = substr($txt,$i,1);     
            $i++;     
            $tmp.= (substr($txt,$i,1) ^ $md5);     
        }  
        return $tmp;  
    }      
}  
?> 

GToken.inc.php
方法:

a,granteToken 参数:formName,即动作名称,key是加密/解密 密钥.
返回一个字符串,形式是: 加密(formName:session_id)

b,isToken 参数:token 即granteToken产生的结果,formName,动作名称,fromCheck是否检查来路,如果为真,还要判断token里的session_id是否和当前的session_id一至.

c,dropToken,当成功执行一个动作后,调用这个函数,把这个token记入session里,

<?php  
/**  
* 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action)  
* 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。  
*  
*/  
class GToken {      /**  
     * 得到当前所有的token  
     *  
     * @return array  
     */  
    public static function getTokens(){  
        $tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];  
        if (empty($tokens) && !is_array($tokens)) {  
            $tokens = array();  
        }  
        return $tokens;  
    }  
    /**  
     * 产生一个新的Token  
     *  
     * @param string $formName  
     * @param 加密密钥 $key  
     * @return string  
     */  
    public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){  
        $token = GEncrypt::encrypt($formName.":".session_id(),$key);  
        return $token;  
    }  
    /**  
     * 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。  
     *  
     * @param string $token  
     */  
    public static function dropToken($token){  
        $tokens = self::getTokens();  
        $tokens[] = $token;  
        GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);  
    }  
    /**  
     * 检查是否为指定的Token  
     *  
     * @param string $token    要检查的token值  
     * @param string $formName  
     * @param boolean $fromCheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.  
     * @param string $key 加密密钥  
     * @return boolean  
     */  
    public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){  
        $tokens = self::getTokens();  
        if (in_array($token,$tokens)) //如果存在,说明是以使用过的token  
            return false;  
        $source = split(":", GEncrypt::decrypt($token,$key));  
        if($fromCheck)  
            return $source[1] == session_id() && $source[0] == $formName;  
        else  
            return $source[0] == $formName;  
    }  
}  
?> 
示例:

首先从$_POST里取出token,用isToken判断.

PHP Token(令牌)设计下载此文件这一切看着似乎是没有问题了.
如果想判断是否是执行的匹配动作,可以把isToken里的formName改一下,运行,很好,没有匹配上.证明这个成功.

是否能避免重复提交,我没有验证,太简单的逻辑了.

余下的就是判断 来路检查 是否正常工作了.
把上面的示例产生的html copy到本地的一个网页内(以达到不同的域的目的),运行,检查来路不明,没有执行动作(需要把isToken的第三个参数设为true).
把isToken的第三个参数设置为false,提交,指定的动作执行了!

好了,到此为止,不知道哪个地方是否还存在BUG,这就要在长期运用中慢慢调试修改了!

PHP 相关文章推荐
无数据库的详细域名查询程序PHP版(5)
Oct 09 PHP
PHP生成静态页面详解
Nov 19 PHP
URL Rewrite的设置方法
Jan 02 PHP
探讨PHP函数ip2long转换IP时数值太大产生负数的解决方法
Jun 06 PHP
php中如何防止表单的重复提交
Aug 02 PHP
实现PHP多线程异步请求的3种方法
Jan 17 PHP
php+mysql实现无限分类实例详解
Jan 15 PHP
PHP编程中的__clone()方法使用详解
Nov 27 PHP
CI框架文件上传类及图像处理类用法分析
May 18 PHP
PHP实现APP微信支付的实例讲解
Feb 10 PHP
PHP中使用mpdf 导出PDF文件的实现方法
Oct 22 PHP
PHP设计模式之工厂模式(Factory Pattern)的讲解
Mar 21 PHP
php项目打包方法
Feb 18 #PHP
PHP4与PHP5的时间格式问题
Feb 17 #PHP
PHP5 面向对象程序设计
Feb 13 #PHP
Dedecms常用函数解析
Feb 01 #PHP
用php实现批量查询清除一句话后门的代码
Jan 20 #PHP
asp和php下textarea提交大量数据发生丢失的解决方法
Jan 20 #PHP
php开发工具之vs2005图解
Jan 12 #PHP
You might like
PHP开发的一些注意点总结
2010/10/12 PHP
php中使用临时表查询数据的一个例子
2013/02/03 PHP
php遍历CSV类实例
2015/04/14 PHP
浅谈PHP中类和对象的相关函数
2017/04/26 PHP
Prototype PeriodicalExecuter对象 学习
2009/07/19 Javascript
JS 树形递归实例代码
2010/05/18 Javascript
javascript循环变量注册dom事件 之强大的闭包
2010/09/08 Javascript
JS+CSS实现的拖动分页效果实例
2015/05/11 Javascript
jQuery simplePage+AJAX plus分页插件用法实例
2016/02/17 Javascript
jQuery.deferred对象使用详解
2016/03/18 Javascript
js中最容易被忽视的事件问题大总结
2016/05/15 Javascript
Javascript中级语法快速入手
2016/07/30 Javascript
JS获取及验证开始结束日期的方法
2016/08/20 Javascript
Vue指令的钩子函数使用方法
2017/03/20 Javascript
基于js中style.width与offsetWidth的区别(详解)
2017/11/12 Javascript
Vue.js分页组件实现:diVuePagination的使用详解
2018/01/10 Javascript
动态加载权限管理模块中的Vue组件
2018/01/16 Javascript
JS中用EL表达式获取上下文参数值的方法
2018/03/28 Javascript
微信小程序实现手势滑动卡片效果
2019/08/26 Javascript
NodeJS实现一个聊天室功能
2019/11/25 NodeJs
Antd下拉选择,自动匹配功能的实现
2020/10/24 Javascript
绘制微信小程序验证码功能的实例代码
2021/01/05 Javascript
windows系统中python使用rar命令压缩多个文件夹示例
2014/05/06 Python
在Python中如何传递任意数量的实参的示例代码
2019/03/21 Python
python日期相关操作实例小结
2019/06/24 Python
Django模板标签{% for %}循环,获取制定条数据实例
2020/05/14 Python
美国知名平价彩妆品牌:e.l.f. Cosmetics
2017/11/20 全球购物
护士演讲稿范文
2014/01/05 职场文书
国际贸易专业个人求职信格式
2014/02/02 职场文书
婚前协议书怎么写
2014/04/15 职场文书
搞笑爱情保证书
2014/04/29 职场文书
祖国在我心中演讲稿450字
2014/09/05 职场文书
城管执法人员个人对照检查材料思想汇报
2014/09/29 职场文书
专业见习报告范文
2014/11/03 职场文书
Vertica集成Apache Hudi重磅使用指南
2022/03/31 Servers
Nginx使用ngx_http_upstream_module实现负载均衡功能示例
2022/08/05 Servers