トークンの使い方-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

トークンの使い方

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 pm 12:01 PM

nbspstringsubstrtoken

トークンの使い方
他の人のモバイルクライアントとサーバーがトークンを操作しているのを見ましたが、トークンの原理は何ですか?これを達成するにはどうすればよいでしょうか? PHPを使用してサーバーサイドを開発する場合、これをどのように実装できますか?
------解決策----------------------
トークンは、リクエストがあなたのものであることを確認するために使用されます。クライアントトークン検証が true の場合にのみ、サーバーはリクエストを受け入れ、データを返します
------解決策------ -
そのトークンは、ID を決定するために使用されるトークンです。

まず、サーバーはトークンを作成し、それをクライアントに渡します。クライアントがリクエストを行うたびに、そのトークンをサーバーに渡して ID を確認します。

簡単な方法を実行して、ID をトークンに暗号化し、トークンを ID に復号化してみましょう

<br /><?php<br />define('KEY', '#^DKHSD&*F'); // 定义密钥<br /><br />$id = '123';<br />$token = genToken($id);<br /><br />echo 'id encrypt token='.$token.'<br>';<br />echo 'token decrypt id='.checkToken($token);<br /><br />// 创建token<br />function genToken($id){<br />    $str = json_encode(array(time(),mt_rand(1000,9999),$id));<br />    return authcode($str, 'ENCODE', KEY);<br />}<br /><br />// 验证token<br />function checkToken($token){<br />    $str = authcode($token, 'DECODE', KEY);<br />    $result = json_decode($str);<br />    if(is_array($result)){<br />        return $result[2];<br />    }else{<br />        return 'decrypt fail';<br />    }<br />}<br /><br /><br />// 加密/解密方法<br />function authcode($string, $operation = 'DECODE', $key){<br /><br />    $ckey_length = 4;   // 随机密钥长度 取值 0-32;<br /><br />    $key = md5($key);<br />    $keya = md5(substr($key, 0, 16));<br />    $keyb = md5(substr($key, 16, 16));<br />    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';<br /><br />    $cryptkey = $keya.md5($keya.$keyc);<br />    $key_length = strlen($cryptkey);<br /><br />    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', 0).substr(md5($string.$keyb), 0, 16).$string;<br />    $string_length = strlen($string);<br /><br />    $result = '';<br />    $box = range(0, 255);<br /><br />    $rndkey = array();<br />    for($i = 0; $i <= 255; $i++) {<br />        $rndkey[$i] = ord($cryptkey[$i % $key_length]);<br />    }<br /><br />    for($j = $i = 0; $i < 256; $i++) {<br />        $j = ($j + $box[$i] + $rndkey[$i]) % 256;<br />        $tmp = $box[$i];<br />        $box[$i] = $box[$j];<br />        $box[$j] = $tmp;<br />    }<br /><br />    for($a = $j = $i = 0; $i < $string_length; $i++) {<br />        $a = ($a + 1) % 256;<br />        $j = ($j + $box[$a]) % 256;<br />        $tmp = $box[$a];<br />        $box[$a] = $box[$j];<br />        $box[$j] = $tmp;<br />        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));<br />    }<br /><br />    if($operation == 'DECODE') {<br />        if((substr($result, 0, 10) == 0 <br><font color='#FF8000'>------解决方案--------------------</font><br> substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {<br />            return substr($result, 26);<br />        } else {<br />            return '';<br />        }<br />    } else {<br />        return $keyc.str_replace('=', '', base64_encode($result));<br />    }<br /><br />}<br />?><br />

-----解決策---- --- -------------
トークントークンでは、クライアントとサーバーが相互に認証します。つまり、
を暗号化および復号して、暗号化された文字列を生成します。
------解決策---------
トークンが検出された場合、このトークンは続行できます
を使用しますが、トークンの本来の目的は悪意のあるアクセスを防ぐことです。再利用すると悪用される可能性のある脆弱性が存在します
ので、毎回発行する方が良いです

。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

絶対的なセッションタイムアウトとアイドルセッションのタイムアウトの違いは何ですか？May 03, 2025 am 12:21 AM

絶対セッションのタイムアウトはセッションの作成時に開始され、アイドルセッションタイムアウトはユーザーの操作なしに開始されます。絶対セッションタイムアウトは、金融アプリケーションなど、セッションライフサイクルの厳格な制御が必要なシナリオに適しています。アイドルセッションタイムアウトは、ソーシャルメディアなど、ユーザーが長い間セッションをアクティブに保つことを望んでいるアプリケーションに適しています。

セッションがサーバーで機能していない場合、どのような措置を講じますか？May 03, 2025 am 12:19 AM

サーバーセッションの障害は、手順に従って解決できます。1。セッションが正しく設定されていることを確認するために、サーバーの構成を確認します。 2.クライアントCookieを確認し、ブラウザがそれをサポートしていることを確認し、正しく送信します。 3. Redisなどのセッションストレージサービスを確認して、それらが正常に動作していることを確認します。 4.アプリケーションコードを確認して、正しいセッションロジックを確認します。これらの手順を通じて、会話の問題を効果的に診断および修復し、ユーザーエクスペリエンスを改善することができます。

session_start（）関数の重要性は何ですか？May 03, 2025 am 12:18 AM

session_start（）iscrucialinphpformangingusersions.1）itInitiateSanewsessionifnoneExists、2）resumesanexistingsession、および3）SetSessionCookieforcontinuityAcrossRequests、ApplicationslicationSliviseSlikeUserauthicationAnticatent。

セッションクッキーにHTTPonlyフラグを設定することの重要性は何ですか？May 03, 2025 am 12:10 AM

HTTPonlyフラグを設定することは、XSS攻撃を効果的に防止し、ユーザーセッション情報を保護することができるため、セッションCookieにとって重要です。具体的には、1）HTTPONLYフラグは、JavaScriptがCookieにアクセスするのを防ぎます。2）Flagは、PHPとFlaskのSetCookiesとMake_Responseを介して設定できます。

PHPセッションはWeb開発でどのような問題を解決しますか？May 03, 2025 am 12:02 AM

phpsessionssolvetheprobrof of maintainsea crossmultiplehttprequestsbyStoringdataontaonsociatingitiTauniquesessionid.1）それらは、通常はヨーロッパの側面、および一般的には、測定されている

どのデータをPHPセッションに保存できますか？May 02, 2025 am 12:17 AM

phpssionscanStorestrings、numbers、arrays、andobjects.1.strings：textdatalikeusernames.2.numbers：integersorfloatsforcounters.3.arrays：listslikeshoppingcarts.4.objects：complextructuresthataresialized。

どのようにPHPセッションを開始しますか？May 02, 2025 am 12:16 AM

tostartaphpsession、outsession_start（）atthescript'sbeginning.1）placeitbe foreanyouttosetthesscookie.2）usesionsionsionsionserdatalikelogintatussorshoppingcarts.3）再生セッションインドストップレベントフィックスアタック

セッションの再生とは何ですか？また、セキュリティをどのように改善しますか？May 02, 2025 am 12:15 AM

セッション再生とは、新しいセッションIDを生成し、セッション固定攻撃の場合にユーザーが機密操作を実行するときに古いIDを無効にすることを指します。実装の手順には次のものが含まれます。1。感度操作を検出、2。新しいセッションIDを生成する、3。古いセッションIDを破壊し、4。ユーザー側のセッション情報を更新します。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。

DVWA

Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、

Dreamweaver Mac版

ビジュアル Web 開発ツール

SecLists

SecLists は、セキュリティテスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティテスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティテストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジングペイロード、機密データパターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテストマシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。