如何使令牌过期

时间:2014-01-01 10:15:03

标签: php passwords token

我尝试使用PHP编写密码恢复脚本代码,在浏览了SO之后,最佳实践的共识似乎是

  • 生成具有到期日期的令牌
  • 通过电子邮件向用户发送令牌
  • 用户点击令牌并更改密码。

我目前有生成令牌的功能,但我将如何使其过期?此外,令牌的保质期是多少?

令牌生成代码:

    function crypto_rand_secure($min, $max) {
        $range = $max - $min;
        if ($range < 0) return $min; // not so random...
        $log = log($range, 2);
        $bytes = (int) ($log / 8) + 1; // length in bytes
        $bits = (int) $log + 1; // length in bits
        $filter = (int) (1 << $bits) - 1; // set all lower bits to 1
        do {
            $rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
            $rnd = $rnd & $filter; // discard irrelevant bits
        } while ($rnd >= $range);
        return $min + $rnd;
}

function GenerateToken($length){
    $token = "";
    $codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
    $codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
    $codeAlphabet.= "0123456789";
    for($i=0;$i<$length;$i++){
        $token .= $codeAlphabet[crypto_rand_secure(0,strlen($codeAlphabet))];
    }
    return $token;
}

P.s上面的代码是从S.O

上的另一个问题复制粘贴的

4 个答案:

答案 0 :(得分:8)

你可以这样做

创建一个名为password_recovery的表,其中包含以下字段

  • id主键自动递增
  • iduser int(11)//您可以根据您的要求选择的长度
  • token_key varchar(100)//您可以根据您的要求选择的长度
  • expire_date datetime
  • created_date datetime

现在,当有人通过输入登录名或电子邮件请求密码恢复时,获取该用户的iduser。然后生成一个令牌。 您可以根据需要设置expire_date。让我们说从现在开始的1天,您可以使用strtotime()来生成它。将这些值插入password_recovery表中。

然后将电子邮件发送到用户的电子邮件ID,如

yourdomain.com/passrecover.php?h= [上面的代币]

用户点击链接后,运行代码以检查令牌是否有效以及是否已过期。如果是,则显示密码重置表单。您将拥有该令牌的iduser。否则显示错误消息。

最后,一旦用户重置密码,请从表中删除该行。

您还可以使用cronjob脚本从表中删除过期的令牌。

答案 1 :(得分:0)

要使其过期,您需要将创建日期存储在您的系统上或以某种方式在令牌中编码,并在兑换令牌时进行检查。

答案 2 :(得分:0)

在令牌及其到期(存储)的某处保留。在着陆页上,当您看到令牌时,您:

  • 检查存储中是否存在令牌(如果不是,它是一个坏令牌)
  • 检查令牌到期日期
  • 执行您的目标网页(密码更改或其他内容)
  • 从存储中删除令牌(不再是一个好的令牌)

答案 3 :(得分:0)

从数据库获取输入电子邮件。生成并存储长度为10的令牌,并将其与0123456789qwertzuioplkjhgfdsayxcvbnm混合在我的数据库中。发送带有参数和UPDATE用户SET令牌的电子邮件将在5分钟后过期。

**   <?php
    if (isset($_POST["forgotPass"])) {
        $connection = new mysqli("localhost", "root", "", "");

        $email = $connection->real_escape_string($_POST["email"]);

        $data = $connection->query("SELECT id FROM users WHERE email='$email'");

        if ($data->num_rows > 0) {
            $string = "0123456789qwertzuioplkjhgfdsayxcvbnm";
            $string = str_shuffle($string);
            $string = substr($string, 0, 10);
            $url = "resetPassword.php?token=$string&email=$email";

            mail($email, "Reset password", "To reset your password, please visit this: $url", "From: me@domain.com\r\n");

            $connection->query("UPDATE users SET token='$string', expire = DATE_ADD(NOW(), INTERVAL 5 MINUTE) WHERE email='$email'");

            echo "Please check your email!";
        } else {
            echo "Please check your inputs!";
        }
    }
?>
<html>
    <body>
        <form action="forgotPassword.php" method="post">
            <input type="text" name="email" placeholder="Email"><br>
            <input type="submit" name="forgotPass" value="Request Password">
        </form>
    </body>
</html>

**

相关问题
最新问题