如何在没有数据库的情况下验证令牌?

时间:2018-08-10 12:52:31

标签: php cookies setcookie

我在同一台服务器上托管了两个域,即域A和域B。

域A将生成对​​域B内容的唯一访问令牌。

域A 

<?php
  //http://php.net/manual/en/function.phpversion.php
  //echo 'Version of PHP: ' . phpversion();

  session_start();
  //$expiry_timestamp = time() + $expiry;
  //https://davidwalsh.name/random_bytes //https://secure.php.net/random_bytes
  //$token = bin2hex(random_bytes(64)); 
  $token = bin2hex(openssl_random_pseudo_bytes(64));
  //$time_token = 12000;
  //$time_token = srand(floor(time() / $time_token));
  //echo $token;
  $_SESSION['token']=$token;
?>

<html>
    <head>
    </head>

    <body>  
        <a href= "domainB.com/content1.php?token=<?php echo $_SESSION['token']; ?>">Content 1</a>
    </body>
</html>

生成令牌的过程似乎是正确的,生成令牌很容易。

现在出现了我的问题,如何验证从域A到域B生成的令牌?生成的令牌必须仅对生成令牌的内容有效,令牌对其他内容无效,令牌必须唯一,这样,如果不是来自他或她计算机的用户就无法与其他用户共享访问权限,令牌必须仅在访问4个小时后才有效4个小时,令牌将不再有效以显示内容,必须生成新令牌才能再次访问。

可以使用cookie而不使用数据库来完成此过程吗?

也许使用一个密钥识别域A和B,就像这样

$APP_SECRET_KEY = "key code secret";

2 个答案:

答案 0 :(得分:2)

在这里使用共享密钥是个好方法。

当我需要生成和验证令牌(例如:电子邮件验证)并且不想将其存储在数据库中时,我倾向于使用HMAC。另外,HMAC is built in to PHP,因此这里不需要库。

这个想法是,在您的数据之上,添加一个签名以验证此令牌是否由您的应用程序在域A上创建。您再次以相同的方式在域B上生成该令牌以进行验证。

示例:

用于生成令牌的共享函数:

function buildVerificationToken($expires, $content)
{
    // Same function on both domains
    $APP_SECRET_KEY = 'key code secret';  // Maybe move that out of source code

    $tokenData = [
        'expires' => $expires, // Include it in signatur generation to prevent user from changing it in URL
        'content' => $content, // Create different token for different content
        'ip' => $_SERVER['REMOTE_ADDR'], // Identify the browser to make it not shareable. Best approach I could think of for this part.
    ];

    $serialized = json_encode($tokenData);

    return hash_hmac('sha256', $serialized, $APP_SECRET_KEY);
}

在域A上生成令牌:

<?php
$expires = time() + (4 * 3600); // +4h
?>
<a href= "domainB.com/content1.php?expires=<?php echo $expires; ?>&token=<?php echo buildVerificationToken($expires, 'content1'); ?>">Content 1</a>

在域B上进行验证:

$providedExpires = (int) $_GET['expires'];
$providedToken = $_GET['token'];

$verificationToken = buildVerificationToken($providedExpires, 'content1'); // Build token the same way

if (!hash_equals($verificationToken, $providedToken)) { // hash_equals instead of string comparison to prevent timing attacks
    // User provided forged token, token for another content, or another IP
    die('Bad token'); // However you want to handle this
}

if (time() > $providedExpires) { // Check expiry time. We can trust the user did not modify it as we checked the HMAC hash
    die('Token expired'); // However you want to handle this
}

// User is allowed to see content1

答案 1 :(得分:1)

Json Web Token (JWT)似乎符合您的要求。这两个应用程序都使用一个秘密密钥来彼此交换令牌和加密数据。

用例示例:

  • 让密钥$secret="secret"
  • 原始数据告诉我们生成令牌时的Unix时间戳(iat字段,用户ID(sub字段)和内容ID(content字段)
$data = [
  "sub" => "1234567890",
  "iat" => 1516239022,
  "content" => 1
];

应用程序A使用HS256算法($token = jwt_encode($raw, 'HS256', $secret))使用密钥对原始数据进行编码。输出$token将是:

  

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOixMjM0NTY3ODkwIiwiaWF0IjoxNTE2MjM5MDIyLCJjb250ZW50IjoxfQ.pMW7KJ4K

您可以解析令牌以在JWT home page中查看其内容。

令牌被发送到应用程序B。此应用程序使用相同的算法和共享密钥($raw = jwt_decode($token, 'HS256', $secret))对令牌进行解码。原始数据将在应用程序B中可用。该数据可用于验证令牌:

  • sub字段中读取用户ID,并检查其是否正确
  • content字段中读取内容ID,并检查其是否正确
  • iat字段中读取生成令牌的时间戳,并检查令牌是否在最近4小时内。

several PHP libraries implement JWT个给您。

相关问题
最新问题