PHP Token(令牌)設計應用

PHP Token(令牌)設計 設計目標: 避免重複提交數據. 檢查來路,是不是外部提交 匹配要執行的動做(若是有多個邏輯在同一個頁面實現,好比新增,刪除,修改放到一個PHP文件裏操做) 這裏所說的token是在頁面顯示的時候,寫到FORM的一個隱藏表單項(type=hidden). token不可明文,若是是明文,那就太危險了,因此要採用必定的加密方式.密文要可逆.俺算法很白癡,因此採用了網上一個現成的方法.

 

如何達到目的: 

怎樣避免重複提交? 
在SESSION裏要存一個數組,這個數組存放以經成功提交的token.在後臺處理時,先判斷這個token是否在這個數組裏,若是存在,說明是重複提交.  
如何檢查來路? 
可選項,這個token在生成的時候,加入了當前的session_id.若是別人copy你的html(token一迸copy),在提交時,理論上token裏包含的session_id不等於當前session_id,就能夠判斷此次提交是外部提交.  
如何匹配要執行的動做? 
在token的時候,要把這個token的動做名稱寫進這個token裏,這樣,在處理的時候,把這個動做解出來進行比較就好了. 
我之前寫的GToken不能達到上面所說的第二條,今天修改了一下,把功能2加上了.我的感受還行. 
請你們看代碼,感受哪裏有不合理的地方,還請賜教!謝謝. 

加密我是找的網上的一個方法,稍做了一下修改. 

<?php 
class GEncrypt extends GSuperclass { 
    protected static function keyED($txt,$encrypt_key){    
        $encrypt_key = md5($encrypt_key);    
        $ctr=0;    
        $tmp = "";    
        for ($i=0;$i<strlen($txt);$i++){    
            if ($ctr==strlen($encrypt_key)) $ctr=0;    
            $tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);    
            $ctr++;    
        }    
        return $tmp;    
    } 

    public static function encrypt($txt,$key){    
        //$encrypt_key = md5(rand(0,32000)); 
        $encrypt_key = md5(((float) date("YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999)); 
        $ctr=0;    
        $tmp = "";    
        for ($i=0;$i<strlen($txt);$i++){ 
            if ($ctr==strlen($encrypt_key)) $ctr=0;    
            $tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));    
            $ctr++;    
        }    
        return base64_encode(self::keyED($tmp,$key)); 
    } 

    public static function decrypt($txt,$key){ 
        $txt = self::keyED( base64_decode($txt),$key);    
        $tmp = ""; 
        for ($i=0;$i<strlen($txt);$i++){    
            $md5 = substr($txt,$i,1);    
            $i++;    
            $tmp.= (substr($txt,$i,1) ^ $md5);    
        } 
        return $tmp; 
    }     
} 
?>

GToken.inc.php 
方法: 

a,granteToken 參數:formName,即動做名稱,key是加密/解密 密鑰. 
返回一個字符串,形式是: 加密(formName:session_id) 

b,isToken 參數:token 即granteToken產生的結果,formName,動做名稱,fromCheck是否檢查來路,若是爲真,還要判斷token裏的session_id是否和當前的session_id一至. 

c,dropToken,當成功執行一個動做後,調用這個函數,把這個token記入session裏, 

複製代碼代碼以下:

<?php  
/**  
* 原理：請求分配token的時候，想辦法分配一個惟一的token, base64( time + rand + action)  
* 若是提交，將這個token記錄，說明這個token以經使用，能夠跟據它來避免重複提交。  
*  
*/  
class GToken {  

    /**  
     * 獲得當前全部的token  
     *  
     * @return array  
     */  
    public static function getTokens(){  
        $tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];  
        if (empty($tokens) && !is_array($tokens)) {  
            $tokens = array();  
        }  
        return $tokens;  
    }  

    /**  
     * 產生一個新的Token  
     *  
     * @param string $formName  
     * @param 加密密鑰 $key  
     * @return string  
     */  

    public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){  
        $token = GEncrypt::encrypt($formName.":".session_id(),$key);  
        return $token;  
    }  

    /**  
     * 刪除token,實際是向session 的一個數組裏加入一個元素，說明這個token以經使用過，以免數據重複提交。  
     *  
     * @param string $token  
     */  
    public static function dropToken($token){  
        $tokens = self::getTokens();  
        $tokens[] = $token;  
        GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);  
    }  

    /**  
     * 檢查是否爲指定的Token  
     *  
     * @param string $token    要檢查的token值  
     * @param string $formName  
     * @param boolean $fromCheck 是否檢查來路,若是爲true,會判斷token中附加的session_id是否和當前session_id一至.  
     * @param string $key 加密密鑰  
     * @return boolean  
     */  

    public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){  
        $tokens = self::getTokens();  

        if (in_array($token,$tokens)) //若是存在，說明是以使用過的token  
            return false;  

        $source = split(":", GEncrypt::decrypt($token,$key));  

        if($fromCheck)  
            return $source[1] == session_id() && $source[0] == $formName;  
        else  
            return $source[0] == $formName;  
    }  
}  
?> 

示例: 

首先從$_POST裏取出token,用isToken判斷. 

這一切看着彷佛是沒有問題了. 
若是想判斷是不是執行的匹配動做,能夠把isToken裏的formName改一下,運行,很好,沒有匹配上.證實這個成功. 

是否能避免重複提交,我沒有驗證,太簡單的邏輯了. 

餘下的就是判斷 來路檢查 是否正常工做了. 
把上面的示例產生的html copy到本地的一個網頁內(以達到不一樣的域的目的),運行,檢查來路不明,沒有執行動做(須要把isToken的第三個參數設爲true). 
把isToken的第三個參數設置爲false,提交,指定的動做執行了!