如何使用PHP生成Google ReCaptcha V2安全令牌?

时间:2015-07-17 14:55:57

标签: php security encryption token recaptcha

我正在尝试为ReCaptcha V2生成安全令牌,如下所述: https://developers.google.com/recaptcha/docs/secure_token

不幸的是,我生成的stoken无效,我找不到办法检查它为什么不起作用。有一个有效的Java示例(STokenUtils.java), 但我发现自己无法将其翻译成PHP。

public static function generateSecurityToken($secretKey){
    $stoken = array(
        'session_id' => session_id(),
        'ts_ms' => round(microtime(true)*1000)
    );
    $secretKey = self::pkcs5_pad(hash('sha1', $secretKey), 16);
    $stoken_json = json_encode($stoken);
    $stoken_crypt = self::encrypt(self::pkcs5_pad($stoken_json, 16), $secretKey);
    return $stoken_crypt;
}

public static function encrypt($sStr, $sKey) {
    return base64_encode(
        mcrypt_encrypt(
            MCRYPT_RIJNDAEL_128, 
            base64_decode($sKey),
            $sStr,
            MCRYPT_MODE_ECB
        )
    );
}

public static function pkcs5_pad ($text, $blocksize) { 
    $pad = $blocksize - (strlen($text) % $blocksize); 
    return $text . str_repeat(chr($pad), $pad); 
}

任何人都可以提供一个有效的PHP示例或指出我的代码中的任何明显错误吗?

3 个答案:

答案 0 :(得分:10)

您的代码中存在许多问题。首先,当实现需要SHA1哈希的前16个字节时,您的$secretKey值将被计算为填充的SHA1哈希值。

$secretKey = substr(hash('sha1', $secretKey, true), 0, 16);

其次,您正在尝试对密钥执行base64解码,这在此处无效。 mcrypt_encrypt()的第二个参数应为$sKey,而不是base64_decode($sKey)

最后,正如x77686d的答案中所解释的那样,你应该使用" URL-safe" BASE64。这是base64的一种变体,它是未填充的,不使用+/个字符。相反,-_字符用于他们的位置。

ReCaptcha的安全令牌真的有点痛苦。它们不安全,算法没有记录。我和你一样处于同样的位置并需要实施,因此我wrote one并将其发布在Packagist as "slushie/recaptcha-secure-token"上。我建议使用它和/或贡献,只是因为缺少该算法的替代实现。

答案 1 :(得分:1)

Google's STokenUtils.java example使用com.google.common.io.BaseEncoding.base64url()(请参阅BaseEncoding),其编码分别使用' - '和'_'代替'+'和'/'。

PHP的base64_encode不进行这些替换。请参阅https://gist.github.com/nathggns/6652997了解base64url_encode,但您会看到它只是将'+'更改为' - ','/'更改为'_',并修剪尾随'='。

您可能还有其他问题,但我现在使用本地Base64编码器在Java版本中解决了同样的问题(ERROR: Invalid stoken):

encoded = encoded.replace('+','-').replace('/','_').replace("=","");

作为固定目标,请尝试加密和编码此对象:

{"session_id":"1","ts_ms":1437712654577}

使用此密钥

6Lc0MgoTAAAAAAXFM388zn66iPtjOdQgREfZAgqZ

看看你是否得到了这个:(注意中间的下划线!)

XlPyYFtyfzmsf5rnRIzyuZ4MZo5GoCSxNcI_wAeOqb18zCxhSM5cYxU8fFerrdcC
顺便说一句,简单地使用该安全令牌会产生不同的错误:ERROR: Stoken expired。将下划线设为斜线,然后返回ERROR: Invalid stoken

另见https://en.wikipedia.org/wiki/Base64

上的base64url

答案 2 :(得分:1)

试试这个:

public static function generateSecurityToken($secretKey){
    $stoken = array(
        'session_id' => session_id(),
        'ts_ms' => round(microtime(true)*1000)
    );


    $stoken_json = json_encode($stoken);
    $stoken_json = str_replace('+', '-', $stoken_json);
    $stoken_json = str_replace('/', '_', $stoken_json);
    $stoken_json = str_replace('=', '', $stoken_json);

    $secretKey = pack('H*', substr(hash('sha1', $secretKey), 0, 32));

    $stoken_crypt = self::encrypt(self::pkcs5_pad($stoken_json, 16), $secretKey);
    return $stoken_crypt;
}

public static function encrypt($sStr, $sKey) {
    $json = base64_encode(
        mcrypt_encrypt(
            MCRYPT_RIJNDAEL_128, 
            $sKey,
            $sStr,
            MCRYPT_MODE_ECB
        )
    );
    $sStr = str_replace('+', '-', $json);
    $sStr = str_replace('/', '_', $sStr);
    $sStr = str_replace('=', '', $sStr);
    return $sStr;
}
相关问题
最新问题