管理资源吧首页>>>教程>>>编程>>>PHP教程>>>

PHP Token(令牌)设计

  如何达到目的:

  怎样避免重复提交?

  在SESSION里要存一个数组,这个数组存放以经成功提交的token.在后台处理时,先判断这个token是否在这个数组里,如果存在,说明是重复提交.

  如何检查来路?

  可选项,这个token在生成的时候,加入了当前的session_id.如果别人copy你的html(token一迸copy),在提交时,理论上token里包含的session_id不等于当前session_id,就可以判断这次提交是外部提交.

  如何匹配要执行的动作?

  在token的时候,要把这个token的动作名称写进这个token里,这样,在处理的时候,把这个动作解出来进行比较就行了.

  我以前写的GToken不能达到上面所说的第二条,今天修改了一下,把功能2加上了.个人感觉还行.

  请大家看代码,感觉哪里有不合理的地方,还请赐教!谢谢.

  加密我是找的网上的一个方法,稍作了一下修改.

  GEncrypt.inc.php:

  

复制代码 代码如下:

  <?php

  class GEncrypt extends GSuperclass {

  protected static function keyED($txt,$encrypt_key){

  $encrypt_key = md5($encrypt_key);

  $ctr=0;

  $tmp = "";

  for ($i=0;$i<strlen($txt);$i++){

  if ($ctr==strlen($encrypt_key)) $ctr=0;

  $tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);

  $ctr++;

  }

  return $tmp;

  }

  public static function encrypt($txt,$key){

  //$encrypt_key = md5(rand(0,32000));

  $encrypt_key = md5(((float) date("YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));

  $ctr=0;

  $tmp = "";

  for ($i=0;$i<strlen($txt);$i++){

  if ($ctr==strlen($encrypt_key)) $ctr=0;

  $tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));

  $ctr++;

  }

  return base64_encode(self::keyED($tmp,$key));

  }

  public static function decrypt($txt,$key){

  $txt = self::keyED( base64_decode($txt),$key);

  $tmp = "";

  for ($i=0;$i<strlen($txt);$i++){

  $md5 = substr($txt,$i,1);

  $i++;

  $tmp.= (substr($txt,$i,1) ^ $md5);

  }

  return $tmp;

  }

  }

  ?>

  GToken.inc.php

  方法:

  a,granteToken 参数:formName,即动作名称,key是加密/解密 密钥.

  返回一个字符串,形式是: 加密(formName:session_id)

  b,isToken 参数:token 即granteToken产生的结果,formName,动作名称,fromCheck是否检查来路,如果为真,还要判断token里的session_id是否和当前的session_id一至.

  c,dropToken,当成功执行一个动作后,调用这个函数,把这个token记入session里,

  

复制代码 代码如下:

  <?php

  /**

  * 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action)

  * 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。

  *

  */

  class GToken {

  /**

  * 得到当前所有的token

  *

  * @return array

  */

  public static function getTokens(){

  $tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];

  if (empty($tokens) && !is_array($tokens)) {

  $tokens = array();

  }

  return $tokens;

  }

  /**

  * 产生一个新的Token

  *

  * @param string $formName

  * @param 加密密钥 $key

  * @return string

  */

  public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){

  $token = GEncrypt::encrypt($formName.":".session_id(),$key);

  return $token;

  }

  /**

  * 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。

  *

  * @param string $token

  */

  public static function dropToken($token){

  $tokens = self::getTokens();

  $tokens[] = $token;

  GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);

  }

  /**

  * 检查是否为指定的Token

  *

  * @param string $token    要检查的token值

  * @param string $formName

  * @param boolean $fromCheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.

  * @param string $key 加密密钥

  * @return boolean

  */

  public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){

  $tokens = self::getTokens();

  if (in_array($token,$tokens)) //如果存在,说明是以使用过的token

  return false;

  $source = split(":", GEncrypt::decrypt($token,$key));

  if($fromCheck)

  return $source[1] == session_id() && $source[0] == $formName;

  else

  return $source[0] == $formName;

  }

  }

  ?>

示例:

  首先从$_POST里取出token,用isToken判断.

PHP Token(令牌)设计

  

include(" target=_blank _ewebeditor_ta_href="%26lt%3BBR%26gt%3B%26lt%3B%3Fphp%26nbsp%3B%20%26lt%3BBR%26gt%3Binclude(" <BR>?> <BR>? <BR>echo $tpl->parse(?admLoginJs?);  <BR>echo $tpl->parse(?footer?);  <BR>echo $tpl->parse(?admLogin?);  <BR>echo $tpl->parse(?header?);  <BR>}  <BR>    $tpl->parseBlock(?blk_notLogin?);  <BR>    $tpl->parseBlock(?blk_loadScripts?,?cond_notLogin?);      <BR>    $tpl->assign(?token?,GToken::granteToken(?adminLogin?));  <BR>}else {  <BR>    $tpl->parseBlock(?blk_logined?);  <BR>if (MO_Admin::isLogined()) {  vImg.php?));  <BR>$tpl->assign(?vImg?,GDir::getRelativePath(? <BR>$tpl->assign(?path?,GDir::getRelativePath(SITE_DIR));  <BR>$tpl->assign(?title?,?管理员登陆?);  <BR>    GSerialize::save($tpl,$sFile);  <BR>    ));      <BR>        ?admLoginJs?='>    "admin/loginJs.html" ' <BR>        ?admLogin?    ='>    "admin/login.html", ' <BR>        ?footer?    ='>    "admin/footer.html", ' <BR>        ?header?    ='>    "admin/header.html", ' <BR>    $tpl->load(array(  <BR>    $tpl =" new GTpl(GConfig::DIR_SKIN ,GConfig::DEBUG_TPL_FILE ); " <BR>if ($tpl ="== false) { " <BR>$tpl =" GSerialize::load($sFile); " <BR>$sFile =' GDir::getAbsPath(GConfig::DIR_SERIALIZE ,"admin/login"); ' <BR>    }  如果是外部提交的,这句就不会打印出来!  <BR>        echo ?here?;  index.php?));  admin header(?location:?.GDir::getRelativePath(? <BR>         <BR>        GToken::dropToken($token);  <BR>    }else{  <BR>        throw new Exception(?用户名或密码不正确!?);  <BR>    if(!$f){  <BR>    $f =" $mo->login(); " <BR>      <BR>    $mo->setVO($vo);  <BR>    $mo =" new MO_Admin(); " <BR>    $vo->setPwd($_POST[?pwd?]);  <BR>    $vo->setNickName($_POST[?name?]);  <BR>    $vo =" new VO_Admin(); " <BR>          <BR>        throw new Exception(?验证码不正确!?);  <BR>    if (strtoupper($vCode) !=" strtoupper($_SESSION[GConfig::SESSION_KEY_VALIDATE_CODE ])) { " <BR>    $vCode =' $_POST["vCode"]; ' <BR>if (GToken::isToken($token,?adminLogin?,true)) {  <BR>$token =' $_POST["token"]; ' common.inc.php?);  ..>下载此文件这一切看着似乎是没有问题了.

  如果想判断是否是执行的匹配动作,可以把isToken里的formName改一下,运行,很好,没有匹配上.证明这个成功.

  是否能避免重复提交,我没有验证,太简单的逻辑了.

  余下的就是判断 来路检查 是否正常工作了.

  把上面的示例产生的html copy到本地的一个网页内(以达到不同的域的目的),运行,检查来路不明,没有执行动作(需要把isToken的第三个参数设为true).

  把isToken的第三个参数设置为false,提交,指定的动作执行了!

  好了,到此为止,不知道哪个地方是否还存在BUG,这就要在长期运用中慢慢调试修改了!

教程首页 更多教程