www.stocke.com.cn PHP 토큰 디자인

목표 달성 방법:
반복 제출을 방지하는 방법
SESSION에 배열을 저장합니다. 이 배열은 백그라운드 처리 중에 토큰이 이 배열에 있는지 확인합니다. , 존재하는 경우 반복 제출이라는 의미입니다.
원본을 확인하는 방법은 무엇입니까?
선택 사항으로, 이 토큰이 생성되면 다른 사람이 귀하의 HTML(토큰 복사본)을 복사하면 추가됩니다. , 제출 시 이론적으로 토큰에 포함된 session_id가 현재 session_id와 같지 않으면 제출이 외부 제출이라고 판단할 수 있습니다.
실행할 작업을 어떻게 일치시킬 수 있나요?
토큰화할 때? , 토큰의 액션 이름은 이 토큰에 작성해야 처리 중에 액션을 해결하고 비교할 수 있습니다.
전에 작성한 GToken은 위에서 언급한 두 번째 사항을 달성하지 못했습니다. 그리고 기능 추가 2. 개인적으로 괜찮은 것 같아요.
코드를 살펴보시고 뭔가 불합리하다고 느끼시면 조언 부탁드립니다.
감사합니다.
GEncrypt.inc.php:

코드 복사 코드는 다음과 같습니다.

class GEncrypt는 GSuperclass를 확장합니다 {
protected static function keyED($txt,$encrypt_key){
$encrypt_key = md5($encrypt_key)
$ctr=0; > $tmp = ""; 
 for ($i=0;$i //$encrypt_key = md5(rand(0,32000))
$encrypt_key = md5(((float) date("YmdHis") rand(1000000000000000,9999999) 9999999999)).rand( 100000,999999));
$ctr=0;
$tmp = ""; if ($ctr==strlen($encrypt_key)) $ctr=0;                   ,$ctr, 1));
$ctr ;
} }
return base64_encode(self::keyED($tmp,$key))
공개 정적 함수 decrypt($ txt,$key) 🎜> $txt = self::keyED( base64_decode($txt),$key)
$tmp = ""
for ($i=0;$i $md5 = substr($txt,$i,1);
$i ;
$tmp.= (substr($txt,$i,1) ^ $md5);                                                                            
GToken.inc.php
메서드:
a, granteToken 매개변수: formName(작업 이름), key는 암호화/해독 키입니다.
암호화(formName) 형식의 문자열을 반환합니다. : session_id)
b, isToken 매개변수: token은 grantToken, formName, action 이름으로 생성된 결과로 fromCheck가 출처를 확인하는지 여부를 나타내며 true인 경우 토큰의 session_id가 동일한지 여부도 확인해야 합니다. 현재 session_id.
c, dropToken, 작업이 성공적으로 실행되면 이 함수를 호출하고 토큰을 세션에 기록합니다.

코드 복사 코드는 다음과 같습니다.

/**
* 원칙: 토큰 할당 요청 시 고유한 토큰 할당 방법을 찾으세요, base64(time rand action)
* 제출한 경우 이 토큰을 기록하여 이전에 이 토큰이 사용되었음을 표시하고, 따라갈 수 있습니다. 중복 제출을 피하세요.
*
*/ 
클래스 GToken { 
    /**
* 현재 토큰 모두 가져오기
*
* @return 배열
*/ 
    공용 정적 함수 getTokens(){ 
        $tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ]; 
        if (비어 있음($tokens) && !is_array($tokens)) { 
            $tokens = array(); 
        } 
        $토큰을 반환합니다. 
    } 
    /**
* 새 토큰 생성
*
* @param string $formName
* @param 암호화 키 $key
* @return string
*/ 
    공개 정적 함수 granteToken($formName,$key = GConfig::ENCRYPT_KEY ){ 
        $token = GEncrypt::encrypt($formName." :".session_id(),$key); 
        $token을 반환합니다. 
    } 
    /**
* 토큰을 삭제하면 실제로 세션의 배열에 요소가 추가됩니다. 이는 데이터의 반복 제출을 피하기 위해 이전에 토큰이 사용되었음을 나타냅니다.
*
* @param string $token
*/ 
    공용 정적 함수 dropToken($token){ 
        $tokens = self::getTokens(); 
        $tokens[] = $token; 
        GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens); 
    } 
    /**
* 지정된 Token인지 확인하고 true인 경우 토큰에 첨부된 session_id가 현재 session_id와 동일한지 판단합니다.
* @param string $key 암호화 키
* @ 부울 반환
*/ 
    공개 정적 함수 isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){ 
        $tokens = self ::getTokens(); 
        if (in_array($token,$tokens)) //如果存재, 说明是以使用过的token 
            false를 반환합니다. 
        $source = split(":", GEncrypt::decrypt($token,$key)); 
        if($fromCheck) 
            return $source[1] == session_id() && $source[0] == $formName; 
        그밖에 
            반환 $source[0] == $formName; 
    } 
} 
?> 

예:
먼저 $_POST에서 토큰을 꺼내고 isToken을 사용하여 판단합니다.
이 파일을 다운로드하는 것은 문제가 없을 것 같습니다.
일치하는 작업인지 판단하려면 isToken에서 formName을 변경하고 실행할 수 있습니다. 일치하는 항목이 없습니다.
반복적인 제출을 피할 수 있는지 여부는 아직 확인되지 않았습니다.
나머지는 원본을 판단하고 확인하는 것입니다.
위 예제에서 생성된 html을 로컬 웹페이지에 복사하여(다른 도메인의 목적을 달성하기 위해) 실행하여 소스를 알 수 없는지 확인합니다. (isToken 매개변수의 세 번째 부분을 true로 변경해야 합니다.)
isToken의 세 번째 매개변수를 false로 설정하고 제출하면 지정된 작업이 실행됩니다.
좋습니다! , 아직 어딘가에 BUG가 있는지는 모르겠어서 장기간 사용하면서 천천히 디버깅하고 수정해보겠습니다!
위 내용은 www.stocke.com.cn의 내용을 포함하여 www.stocke.com.cn의 PHP Token 디자인을 소개한 것입니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.