快捷導(dǎo)航

PHP令牌 Token改進(jìn)版

更新時間：2008年07月18日 08:51:11 作者：

那個版本中，存在一個小問題，因為要做可逆加密，而加密出來的字符是不可顯示字符+亂碼，所以我用了 base64對其進(jìn)行了處理，這樣一來，就不會有亂碼和不可顯示字符了。

正是由于使用了 base64 ，所以在把這個令牌通過 GET方法發(fā)送的時候，出現(xiàn)了問題。
比如：http://test/test.php?a=1+2
你用 $_GET["a"] 取得是：1 2 ，即那個加號沒有了。一開始我用 urlencode 對其進(jìn)行轉(zhuǎn)換，但是總有那么一兩的結(jié)果是意料外的。

后來想想 base64 的字符就限定于： [A-Za-z0-9\+\/=] 這么多，加號出問題，我就把加號換成不出問題的符號，下劃線是最好的選擇。下面是修改后的代碼：

GEncrypt.inc.php

復(fù)制代碼代碼如下:

<?php  
class GEncrypt {  
 protected static function keyED($txt, $encrypt_key) {  
  $encrypt_key = md5 ( $encrypt_key );  
  $ctr = 0;  
  $tmp = "";  
  for($i = 0; $i < strlen ( $txt ); $i ++) {  
   if ($ctr == strlen ( $encrypt_key ))  
    $ctr = 0;  
   $tmp .= substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 );  
   $ctr ++;  
  }  
  return $tmp;  
 }  

 public static function encrypt($txt, $key) {  
  $encrypt_key = md5 ( (( float ) date ( "YmdHis" ) + rand ( 10000000000000000, 99999999999999999 )) . rand ( 100000, 999999 ) );  
  $ctr = 0;  
  $tmp = "";  
  for($i = 0; $i < strlen ( $txt ); $i ++) {  
   if ($ctr == strlen ( $encrypt_key ))  
    $ctr = 0;  
   $tmp .= substr ( $encrypt_key, $ctr, 1 ) . (substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 ));  
   $ctr ++;  
  }  
  return ( preg_replace("/\\+/s","_", base64_encode ( self::keyED ( $tmp, $key ) ) ));  
 }  
 //base64 [A-Za-z0-9\+\/=]  
 public static function decrypt($txt, $key) {  
  if($txt == ""){ return false;}   
  //echo preg_replace("/_/s","+",$txt);  
  $txt = self::keyED (base64_decode ( preg_replace("/_/s","+", $txt) ), $key );  
  $tmp = "";  
  for($i = 0; $i < strlen ( $txt ); $i ++) {  
   $md5 = substr ( $txt, $i, 1 );  
   $i ++;  
   $tmp .= (substr ( $txt, $i, 1 ) ^ $md5);  
  }  
  return $tmp;  
 }  
}  

?> 

GToken.inc.php

復(fù)制代碼代碼如下:

<?php  
/**  
 * 原理：請求分配token的時候，想辦法分配一個唯一的token, base64( time + rand + action)  
 * 如果提交，將這個token記錄，說明這個token以經(jīng)使用，可以跟據(jù)它來避免重復(fù)提交。  
 *  
 */  
class GToken {  

 /**  
  * 得到當(dāng)前所有的token  
  *  
  * @return array  
  */  
 public static function getTokens(){  
  $tokens = $_SESSION[GConfig::SSN_KEY_TOKEN ];  
  if (empty($tokens) && !is_array($tokens)) {  
   $tokens = array();  
  }  
  return $tokens;  
 }  

 /**  
  * 產(chǎn)生一個新的Token  
  *  
  * @param string $formName  
  * @param 加密密鑰 $key  
  * @return string  
  */  

 public static function newToken($formName,$key = GConfig::ENCRYPT_KEY ){  
  $token = GEncrypt::encrypt($formName.session_id(),$key);  
  return $token;  
 }  

 /**  
  * 刪除token,實際是向session 的一個數(shù)組里加入一個元素，說明這個token以經(jīng)使用過，以避免數(shù)據(jù)重復(fù)提交。  
  *  
  * @param string $token  
  */  
 public static function dropToken($token){  
  $tokens = self::getTokens();  
  $tokens[] = $token;  
  GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);  
 }  

 /**  
  * 檢查是否為指定的Token  
  *  
  * @param string $token 要檢查的token值  
  * @param string $formName   
  * @param boolean $fromCheck 是否檢查來路,如果為true,會判斷token中附加的session_id是否和當(dāng)前session_id一至.  
  * @param string $key 加密密鑰  
  * @return boolean  
  */  

 public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){  
  if(empty($token)) return false;  

  $tokens = self::getTokens();  

  if (in_array($token,$tokens)) //如果存在，說明是以使用過的token  
   return false;  

  $source = GEncrypt::decrypt($token,$key);  

  if($fromCheck)  
   return $source == $formName.session_id();  
  else{  
   return strpos($source,$formName) === 0;  
  }  
 }  

 public static function getTokenKey($token,$key = GConfig::ENCRYPT_KEY){  
  if($token == null || trim($token) == "") return false;  
  $source = GEncrypt::decrypt($token,$key);  
  return $source != "" ? str_replace(session_id(),"",$source) : false;  
 }  

 public function newTokenForSmarty($params){  
  $form = null;  
  extract($params);  
  return self::newToken($form);  
 }  
}  
?> 