我有一个PHP脚本,它会生成一些字符串,用作许可证密钥:
function KeyGen(){
$key = md5(microtime());
$new_key = '';
for($i=1; $i <= 25; $i ++ ){
$new_key .= $key[$i];
if ( $i%5==0 && $i != 25) $new_key.='-';
}
return strtoupper($new_key);
}
$x = 0;
while($x <= 10) {
echo KeyGen();
echo "<br />";
$x++;
}
运行一次脚本后,我得到了这些:
8B041-EC7D2-0B9E3-09846-E8C71
C8D82-514B9-068BC-8BF80-05061
A18A3-E05E5-7DED7-D09ED-298C4
FB1EC-C9844-B9B20-ADE2F-0858F
E9AED-945C8-4BAAA-6938D-713ED
4D284-C5A3B-734DF-09BD6-6A34C
EF534-3BAE4-860B5-D3260-1CEF8
D84DB-B8C72-5BDEE-1B4FE-24E90
93AF2-80813-CD66E-E7A5E-BF0AE
C3397-93AA3-6239C-28D9F-7A582
D83B8-697C6-58CD1-56F1F-58180
我现在要做的是更改它,以便我有另一个函数来检查是否已使用我的脚本生成密钥。目前,我在想的是将$key设置为一个特定字符串的MD5(例如,test),但当然,返回所有字符串相同。
有人可以帮忙吗?
答案 0 :(得分:14)
注意:
此解决方案假设您希望许可证密钥始终位于fixed format(见下文)且仍然self authenticated
FORMAT : XXXXX-XXXXX-XXXXX-XXXXX-XXXX
如果不是这种情况,请参考@ircmaxell以获得更好的解决方案
<强>简介
自我认证的序列是棘手的解决方案,因为:
示例
$option = new CheckProfile();
$option->name = "My Application"; // Application Name
$option->version = 0.9; // Application Version
$option->username = "Benedict Lewis"; // you can limit the key to per user
$option->uniqid = null; // add if any
$checksum = new Checksum($option);
$key = $checksum->generate();
var_dump($key, $checksum->check($key));
输出
string '40B93-C7FD6-AB5E6-364E2-3B96F' (length=29)
boolean true
请注意,选项中的任何修改都会更改密钥并使其无效;
检查碰撞
我刚刚运行了这个简单的测试
set_time_limit(0);
$checksum = new Checksum($option);
$cache = array();
$collision = $error = 0;
for($i = 0; $i < 100000; $i ++) {
$key = $checksum->generate();
isset($cache[$key]) and $collision ++;
$checksum->check($key) or $error ++;
$cache[$key] = true;
}
printf("Fond %d collision , %d Errors in 100000 entries", $collision, $error);
输出
Fond 0 collision , 0 Errors in 100000 entries
更好的安全性
默认情况下,该脚本使用sha1,但PHP有更多更好hash functions您可以使用以下代码获取该内容
print_r(hash_algos());
示例
$checksum = new Checksum($option, null, "sha512");
使用的课程
class Checksum {
// Used used binaray in Hex format
private $privateKey = "ec340029d65c7125783d8a8b27b77c8a0fcdc6ff23cf04b576063fd9d1273257"; // default
private $keySize = 32;
private $profile;
private $hash = "sha1";
function __construct($option, $key = null, $hash = "sha1") {
$this->profile = $option;
$this->hash = $hash;
// Use Default Binary Key or generate yours
$this->privateKey = ($key === null) ? pack('H*', $this->privateKey) : $key;
$this->keySize = strlen($this->privateKey);
}
private function randString($length) {
$r = 0;
switch (true) {
case function_exists("openssl_random_pseudo_bytes") :
$r = bin2hex(openssl_random_pseudo_bytes($length));
break;
case function_exists("mcrypt_create_ivc") :
default :
$r = bin2hex(mcrypt_create_iv($length, MCRYPT_DEV_URANDOM));
break;
}
return strtoupper(substr($r, 0, $length));
}
public function generate($keys = false) {
// 10 ramdom char
$keys = $keys ? : $this->randString(10);
$keys = strrev($keys); // reverse string
// Add keys to options
$this->profile->keys = $keys;
// Serialise to convert to string
$data = json_encode($this->profile);
// Simple Random Chr authentication
$hash = hash_hmac($this->hash, $data, $this->privateKey);
$hash = str_split($hash);
$step = floor(count($hash) / 15);
$i = 0;
$key = array();
foreach ( array_chunk(str_split($keys), 2) as $v ) {
$i = $step + $i;
$key[] = sprintf("%s%s%s%s%s", $hash[$i ++], $v[1], $hash[$i ++], $v[0], $hash[$i ++]);
$i ++; // increment position
}
return strtoupper(implode("-", $key));
}
public function check($key) {
$key = trim($key);
if (strlen($key) != 29) {
return false;
}
// Exatact ramdom keys
$keys = implode(array_map(function ($v) {
return $v[3] . $v[1];
}, array_map("str_split", explode("-", $key))));
$keys = strrev($keys); // very important
return $key === $this->generate($keys);
}
}
答案 1 :(得分:14)
处理此问题有三种基本方法。如何操作将取决于您生成的密钥数量,以及能够在以后使密钥无效的重要性。你选择哪一个取决于你。
当服务器生成密钥(如使用算法)时,将其存储在数据库中。然后,您需要做的就是检查密钥是否在数据库中。
注意您的算法需要比您提供的更多的熵。当前时间戳 NOT 已足够。相反,使用强随机性:
$key = mcrypt_create_iv($length_needed, MCRYPT_DEV_URANDOM);
或者,如果你没有mcrypt:
$key = openssl_random_pseudo_bytes($length_needed);
或者,如果您没有mcrypt和openssl,请使用a library
请注意,md5返回十六进制输出(a-f0-9),其中所有上述内容都返回完整的随机二进制字符串(字符0 - 255)。所以要么base64_encode(),要么bin2hex()。
基本上,您生成一个强随机密钥(从此处称为私钥),并将其存储在您的服务器上。然后,在生成许可证密钥时,生成随机blob,然后HMAC使用私钥对其进行签名,并使该块的许可证成为其中的一部分。这样,您就不需要存储每个密钥。
function create_key($private_key) {
$rand = mcrypt_create_iv(10, MCRYPT_DEV_URANDOM);
$signature = substr(hash_hmac('sha256', $rand, $private_key, true), 0, 10);
$license = base64_encode($rand . $signature);
return $license;
}
function check_key($license, $private_key) {
$tmp = base64_decode($license);
$rand = substr($tmp, 0, 10);
$signature = substr($tmp, 10);
$test = substr(hash_hmac('sha256', $rand, $private_key, true), 0, 10);
return $test === $signature;
}
基本上,您生成公钥/私钥对。您将公钥嵌入应用程序中。然后,您生成一个密钥(类似于上面的“签名密钥”),但不是使用HMAC签名对其进行签名,而是使用私钥对其进行签名。
这样,应用程序(具有公钥)可以直接验证签名,而无需回叫您的服务器。
function create_key($private_key) {
$rand = mcrypt_create_iv(10, MCRYPT_DEV_URANDOM);
$pkeyid = openssl_get_privatekey($private_key);
openssl_sign($rand, $signature, $pkeyid);
openssl_free_key($pkeyid);
$license = base64_encode($rand . $signature);
return $license;
}
function check_key($license, $public_key) {
$tmp = base64_decode($license);
$rand = substr($tmp, 0, 10);
$signature = substr($tmp, 10);
$pubkeyid = openssl_get_publickey($public_key);
$ok = openssl_verify($rand, $signature, $pubkeyid);
openssl_free_key($pubkeyid);
return $ok === 1;
}
答案 2 :(得分:2)
您实际需要的是像部分密钥验证这样的算法
请参阅此文章了解工作原理并将其移植到PHP
答案 3 :(得分:0)
创建它们时,将这些密钥存储在数据库中。后期将它们与数据库行匹配,然后瞧..它将完成
答案 4 :(得分:-2)
请注意,使用此算法获得重复密钥并非不可能,这不太可能,但赢得彩票也是如此。您必须将密钥存储在数据库或文件中以检查它是否已存在。