yii2 csrf驗證原理分析

yii2 csrf驗證原理剖析,加解密原理剖析

知識補充

由於yii2 csrf的驗證的加解密 涉及到異或運算

因此須要先補充php裏字符串異或運算的相關知識,不須要的能夠跳過

^異或運算
不同返回1 否者返回 0
在PHP語言中,常常用來作加密的運算,解密也直接用^就行
字符串運算時 利用字符的ascii碼轉換爲2進制來運算
單個字符運算
舉例的ascii見下表

字符	二進制	ASCII
a	1100001	97
b	1100010	98
c	1100011	99
d	1100100	100

計算結果

運算	二進制	ASCII
a^b	0000 0011	3
a^c	0000 0010	2
b^d	0000 0110	6
ab^cd	0000 0010	2
a^cd	0000 0010	2
ab^c	0000 0010	2

 

1.對於單個字符和單個字符的
直接計算其結果便可 好比表裏的a^b

2.對於長度同樣的多個字符串 如表裏的ab^cd
 計算a^c對應的結果和和b^d對應的結果 對應的字符鏈接起來

<?php$str1='ab';$str2="cd";$r= $str1^$str2;var_dump($r);echo "[object Object]";for($i=0;$i<strlen($r) ;$i++){    echo ord($r[$i])."
";
}?>

對於不等的
以短的字符串長度位進行計算

Yii2的csrf token驗證
在yii2的接收post請求時
在若是開啓
enableCsrfValidation爲true
在/vendor/yiisoft/yii2/web/Controller.php

<?php   public function beforeAction($action)
    {        if (parent::beforeAction($action)) {            if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {                throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
            }            return true;
        }        
        return false;
    }?>

會進行validateCsrfToken驗證
在/vendor/yiisoft/yii2/web/Request.php

<?phppublic function validateCsrfToken($token = null)
    {        $method = $this->getMethod();        // only validate CSRF token on non-"safe" methods http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1
        if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {            return true;
        }        $trueToken = $this->loadCsrfToken();        if ($token !== null) {            return $this->validateCsrfTokenInternal($token, $trueToken);
        } else {            return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)                || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
        }
    }?>

說明在 GET, HEAD, OPTIONS 均不驗證,除了這幾種主要用的也就post了

說明在咱們發送post請求時必須發送相關驗證的字段和值
下面看CsrfToken產生過程
在/vendor/yiisoft/yii2/web/Request.php裏

<?phppublic function getCsrfToken($regenerate = false)
    {        if ($this->_csrfToken === null || $regenerate) {            if ($regenerate || ($token = $this->loadCsrfToken()) === null) {                $token = $this->generateCsrfToken();
            }            // the mask doesn't need to be very random
            $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';            $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);            // The + sign may be decoded as blank space later, which will fail the validation
            $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
        }        return $this->_csrfToken;
    }?>

會發現
_csrfToken的產生大體以下
若是開啓了enableCsrfCookie,
CsrfToken就從cookie裏取,否者從session裏取(更安全)
可在
/vendor/yiisoft/yii2/web/Request.php的下面部位看到

<?php protected function loadCsrfToken()
    {        if ($this->enableCsrfCookie) {            return $this->getCookies()->getValue($this->csrfParam);
        } else {            return Yii::$app->getSession()->get($this->csrfParam);
        }
    }?>

從loadCsrfToken()裏取出的值這裏稱token

 

在post裏發送的也就是Yii::$app->getRequest()->csrfParam 這裏稱csrfToken
如今根據代碼大體說下生成和驗證的主要思路,固然本身看代碼更能細緻的瞭解1.從cookie或者session裏取出token ,固然cookie或者session裏若是沒有就是初始化操做的過程了,這裏初始化不是重點2.隨機產生CSRF_MASK_LENGTH(Yii2裏默認是8位)長度的字符串 mask3.對mask和token進行以下運算str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));$this->xorTokens($arg1,$arg2) 是一個先補位異或運算

 

傳入$arg1,$arg2
 長度短的要用自身補到長度長的字符串的位置
見代碼部分
在 /vendor/yiisoft/yii2/web/Request.php 的以下部分

 <?php  private function xorTokens($token1, $token2)
    {        $n1 = StringHelper::byteLength($token1);        $n2 = StringHelper::byteLength($token2);        if ($n1 > $n2) {            $token2 = str_pad($token2, $n1, $token2);
        } elseif ($n1 < $n2) {            $token1 = str_pad($token1, $n2, $n1 === 0 ? ' ' : $token1);
        }        return $token1 ^ $token2;
    } ?>

就是說若是 $arg1比$arg2短,$arg1要用自身補齊 補到和和$arg2同樣的長度
這裏爲何要這樣作？
由於在php裏
'a'^'bc' 會只算 a^b 而不考慮c了,這裏採用了向長度更長的來補
若是用
xorTokens來處理 'a'和'bc'
會先把a用本身填充到和bc同樣的長度後再進行異或運算
異或運算詳見上文補充

str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));

計算後即會得出在post請求時要發送的值 csrfToken

下面是驗證過程
1.根據 表單字段名
Yii::$app->getRequest()->csrfParam;
從post裏拿到
csrfToken的值
從方法 validateCsrfToken裏能夠看到
代碼
在/vendor/yiisoft/yii2/web/Request.php 的以下部分

<?php public function validateCsrfToken($token = null)
    {        $method = $this->getMethod();        // only validate CSRF token on non-"safe" methods http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1
        if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {            return true;
        }        $trueToken = $this->loadCsrfToken();        if ($token !== null) {            return $this->validateCsrfTokenInternal($token, $trueToken);
        } else {            return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)                || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
        }
    }?>

$this->getBodyParam($this->csrfParam)
能夠看出
解密的目的就是要從
csrfToken裏取出token 而後和會話裏的token比較
見/vendor/yiisoft/yii2/web/Request.php 的以下部分

<?php private function validateCsrfTokenInternal($token, $trueToken)
    {        $token = base64_decode(str_replace('.', '+', $token));        $n = StringHelper::byteLength($token);        if ($n <= static::CSRF_MASK_LENGTH) {            return false;
        }        $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);        $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);        /*
          注意此時的$token在加密過程當中是xorTokens($trueToken,$mask)的結果        */
        $token = $this->xorTokens($mask, $token);        return $token === $trueToken;
    }?>

加密時用的是
str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
解密
1.首先要把.替換成+
2.而後base64_decode
再 根據長度分別取出$mask和$this->xorTokens($token, $mask) ;
爲了說明方便 $this->xorTokens($token, $mask) 這裏稱做 token1
而後
進行mask和token1的異或運算,即得token
注意在加密時
token1=token^mask
因此
解密時
token=mask^token1=mask^(token^mask)

yii2中的核心思路token是從會話中取得的用隨機串和token進行運算處理 獲得一個加密串驗證的時候經過這個加密串解密出來這個token和會話裏的值進行比較