Token的设计方法
从安全性方面考虑,有些接口需要对来源进行判断。例如从客户端上传图片至服务器端,我们需要验证来源以辨别其访问是否合法。
以下是常规的token设计思路,我们在请求的来源页面(A页面)生成出一个时间戳,将该时间戳与自定义的唯一标识符合并组成一个新的字符串作为token。在提交信息给服务器时,将时间戳和token一同交至服务器端。
A页面:
1 <?php $timestamp = time();?> 2 <input type="text" name="timestamp" value="<?php echo $timestamp;?>" /> 3 <input type="text" name="token" value="<?php echo md5('unique_salt' . $timestamp);?>" />
服务器端(B页面)将接收到的时间戳按照A页面的方法与唯一标识符合并组成token,如果B页面生成的token与A页面生成的token一致,则可以判定A页面的来源是可靠的。
B页面:
1 $verifyToken = md5('unique_salt' . $_POST['timestamp']); 2 if($_POST['token'] == $verifyToken){ 3 //token 验证正确 4 }
之所以利用时间戳来制造token有两方面优势,一个是生成字符串的随机性,另一个是可以根据该字符串做初步的时效性验证。
以上只是基础的思路,但是这种方法的验证会涉及到一个问题:当你的源码泄露时,其他人就可以根据你的唯一标识符unique_salt来构造出token使其通过验证。
因此,我们可以尝试采用安全性更为严密的方法来构造token:Session+时间戳
我们可以在请求的来源页面(A页面)随机生成一个字符串RandomStr,并将其保存在session['unique_salt']中,再利用RandomStr与时间戳结合生成一个token。提交数据时,将该token与时间戳一起提交至服务器端(B页面),此时,服务器将根据session['unique_salt']+接收的时间戳来生成token,并用来源页面提交的token作对比,如果一致则判定A页面的来源是可靠的。
通过这种方法,即使你的源码被泄露,但是由于session['unique_salt']的随机性,其他人也无法构造出正确的token来通过服务器验证。
