ホームページ  >  記事  >  バックエンド開発  >  www.stocke.com.cn PHP トークンの設計

www.stocke.com.cn PHP トークンの設計

WBOY
WBOYオリジナル
2016-07-29 08:37:231562ブラウズ

目標を達成する方法:
繰り返し送信を避ける方法
SESSION に配列を保存します。バックグラウンド処理中に、この配列にトークンが存在するかどうかを最初に確認します。それは繰り返し送信です。
ソースを確認する方法は?
オプションで、このトークンが生成されると、送信時に他の人が HTML (トークンのコピー) をコピーすると、理論的にはトークンに含まれる session_id が追加されます。現在の session_id と等しくない場合、この送信は外部送信であると判断できます
実行するアクションを一致させるにはどうすればよいですか?
トークン化する際には、このトークンのアクション名をトークンに記述する必要があります。処理するときは、このアクションを解決して比較してください。
以前書いたGTokenは、上記の2番目の点を満たしていませんでした。今日修正して機能2を追加しました。個人的には大丈夫だと思います
コードを見てください。何か不合理な点がある場合は、ご教示ください。
GEncrypt.inc.php:

暗号化の方法を見つけました。 コードは次のとおりです:

& lt;? PHP

Class GenCrypt Extends GsuperClass {
ProteCted Static Function Keyed ($ TXT, $ ENCRYPT_KEY) {
$ ENCRYPT_KEY = MD5 ($ ENCRYPT _Key); ;
$ tmp = "" ";
for ($ i=0;$i if ($ctr==strlen($encrypt_key)) $ctr=0;
$ tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1); t,$key){
32000));
$encrypt_key = md5(((float) date(" YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));
$ctr=0;
$tmp = "";
for ($i=0;$i if ($ctr==strlen($encrypt_key)) $ctr=0;
$tmp.= substr($encrypt_key,$ ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1)); $key) );
}
public static function decrypt($txt,$key){
$txt = self::keyED(base64_decode($txt),$key) ; $ tmp = "";
GToken.inc.php
メソッド:
a、granteToken パラメータ: formName、アクション名、key は暗号化/復号化キーです。
encryption (formName: session_id) の形式で文字列を返します。
b、isToken パラメータ。 : token は、grantToken、formName、アクション名によって生成された結果であり、fromCheck がソースをチェックするかどうか、また、true の場合は、トークン内の session_id が現在の session_id と同じかどうかも判断します
c、dropToken、これを呼び出します。アクション関数が正常に実行された後、このトークンをセッションに記録し、

コードをコピーします コードは次のとおりです:


/**
* 原則: トークンの割り当てをリクエストするときは、一意のトークン、base64(time + rand + action) を割り当てる方法を見つけてください。
* 送信された場合は、このトークンが以前に使用されたことを示すためにこのトークンを記録します。重複送信を避けるためです。
*
*/
class GToken {
/**
*現在のすべてのトークンを取得します*/
public static function getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ]; 
if (empty($tokens) && !is_array($tokens)) {
$tokens = array(); 
}
$tokens を返します。 
}
/**
*新しいトークンを生成します*/
public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName.":".session_id(),$鍵); 
$token を返す; 
}
/**
* トークンを削除すると、実際にはセッション内の配列に要素が追加され、データの繰り返しの送信を避けるためにそのトークンが以前に使用されたことを示します。
**/
public static function dropToken($token){
$tokens = self::getTokens(); 
$tokens[] = $token; 
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens); 
}
/**session session_idが現在のsession_idと同じかどうか*/
public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self::getTokens(); 
if (in_array($token,$tokens)) //如果存在,说明是使用过的トークン
return false; 
$source = split(":", GEncrypt::decrypt($token,$key)); 
if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName; 
else
return $source[0] == $formName; 
}
}
?> 

例:
まず$_POSTからトークンを取り出してisTokenで判定する
 PHP Token令牌设计このファイルをダウンロードしても問題ないようです
一致するアクションかどうかを判定したい場合はisTokenのformNameを変更すればOKです。非常に良い、一致しないことを証明します。
繰り返しの送信を回避できるかどうかは検証していません。
残りはソースチェックが正常に機能しているかどうかを判断します。
上記の例は生成されます。 html をローカル Web ページにコピーし (さまざまなドメインの目的を達成するため)、実行して、ソースが不明であることを確認し、アクションは実行されません (isToken の 3 番目のパラメーターを true に設定する必要があります)。 isToken を false に設定し、送信すると、指定されたアクションが実行されます。
さて、今のところ、どこかにまだバグがあるかどうかはわかりませんが、長期的に使用する場合はゆっくりとデバッグして修正する必要があります

上記は、www.stocke.com.cn のコンテンツを含む PHP トークンの設計を紹介しています。PHP チュートリアルに興味のある友人に役立つことを願っています。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。