超级坏蛋
超级坏蛋
Lv 7
阿里云 MVP,数字化转型专家,清华大学计算机系博士,著有《数据分析实战》《SQL 必知必会》,累计付费订阅人数超 11.5 万人,国内数据分析领域知识付费排名前列。

PHP 使用token验证可有效的防止非法来源数据提交访问,增加数据操作的安全性


第一步:生成token

/** 第一步:生成token */
public function CreateToken($userid) {
    //用户名、此时的时间戳,并将过期时间拼接在一起
    $time = time();
    $end_time = time() + 86400;//过期时间
    $info = $userid . '.' . $time . '.' . $end_time; //设置token过期时间为一天
    //根据以上信息信息生成签名(密钥为 SIGNATURE 自定义全局常量)
    $signature = hash_hmac('md5', $info, SIGNATURE);
    //最后将这两部分拼接起来,得到最终的Token字符串
    return $token = $info . '.' . $signature;
}
 
 
 
 
/** 第二步:验证token */
public function check_token($token)
{
    /**** api传来的token ****/
    if(!isset($token) || empty($token))
    {
        $msg['code']='400';
        $msg['msg']='非法请求';
        return json_encode($msg,JSON_UNESCAPED_UNICODE);
    }
    //对比token
    $explode = explode('.',$token);//以.分割token为数组
    if(!empty($explode[0]) && !empty($explode[1]) && !empty($explode[2]) && !empty($explode[3]) )
    {
        $info = $explode[0].'.'.$explode[1].'.'.$explode[2];//信息部分
        $true_signature = hash_hmac('md5',$info,'siasqr');//正确的签名
        if(time() > $explode[2])
        {
            $msg['code']='401';
            $msg['msg']='Token已过期,请重新登录';
            return json_encode($msg,JSON_UNESCAPED_UNICODE);
        }
        if ($true_signature == $explode[3])
        {
            $msg['code']='200';
            $msg['msg']='Token合法';
            return json_encode($msg,JSON_UNESCAPED_UNICODE);
        }
        else
        {
            $msg['code']='400';
            $msg['msg']='Token不合法';
            return json_encode($msg,JSON_UNESCAPED_UNICODE);    
        }
    }
    else
    {
        $msg['code']='400';
        $msg['msg']='Token不合法';
        return json_encode($msg,JSON_UNESCAPED_UNICODE);
    }   
}

1、密钥设置

public $secretKey = 'hgakdfkljalfdjlk';//私钥
public $termValidity = 60;//有效时常(秒)

2、调用方式

$info = ['user_id' => 1];
 
//生成密钥
$this->CreateToken( $info);
 
//校验密钥
$this->CheckToken($token);

3、基础方法