在服务器端验证curl CURLOPT_HTTPHEADER请求

Question

我已经开发了一个小型Web服务，它将接受用户查询并将数据作为json响应返回。一切正常。但是我想知道如何设置和比较 来自客户端的授权令牌，作为curl标头的一部分。这是我发送请求的代码。我仍然没有在FetchData.php上设置任何验证内容。我想在FetchData.php上实现它。如何实现呢？

$query = "select * from product_details where id = 2";
$query_params = array("query" => $query); 
$url = "http://localhost/api/fetchData.php?" . http_build_query($query_params, '', "&");
$curl = curl_init();
$token = 'ABCD123456';
$header[] = 'Authorization: Token '.$token;
curl_setopt_array($curl, array(
CURLOPT_RETURNTRANSFER => 1,
CURLOPT_URL => $url,
CURLOPT_HTTPGET=>1,
CURLOPT_FAILONERROR=> 1,
CURLOPT_RETURNTRANSFER=> true,
CURLOPT_HTTPHEADER=>$header
));

$resp = curl_exec($curl);
if($resp === false)  
{
    $responseJson = new stdClass(); 
    $responseJson->status =  "FAILED";
    $responseJson->message = 'Send error: ' . curl_error($curl);
    throw new Exception(curl_error($curl)); 
}
else{
    $resp = curl_exec($curl);
}

在上面的代码中，我添加了此授权令牌。但实际上，这不是在服务器端设置的，我的意思是在fetchData.php中。

$token = 'ABCD123456';
$header[] = 'Authorization: Token '.$token;

所以我的问题是如何在fetchData.php中设置此授权令牌，并验证来自客户端的令牌？任何帮助将不胜感激。

Answer 1

如果只有1个令牌，则可以对其进行硬编码，

if(hash_equals(hash('sha384',$_SERVER['HTTP_AUTHORIZATION'],true),hash('sha384','the-real-token',true)){
    // correct token!

}else{
    // wrong token
}

但是，如果您有多个令牌，则应将它们预先存储在数据库中，这是一个SQLite示例，其中包含令牌“ foo”，“ bar”和“ baz”：

$db = new PDO('sqlite::memory:', '', '', array(
    PDO::ATTR_EMULATE_PREPARES => false,
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
));
$db->exec('
CREATE TABLE tokens(id INTEGER PRIMARY KEY AUTOINCREMENT,
token TEXT,
hash BLOB);');
$stm=$db->prepare("INSERT INTO TOKENS(`token`,`hash`) VALUES(:token,:hash);");

$tokens=["foo","bar","baz"];
foreach($tokens as $token){
    $stm->execute(array(':token'=>$token,':hash'=>hash('sha384',$token,true)));
}

通过此操作，您可以通过运行来检查令牌是否有效

$stm=$db->prepare("SELECT EXISTS(SELECT 1 FROM hashes WHERE hash=?);");
$stm->execute([hash('sha384',$_SERVER['HTTP_AUTHORIZATION'],true]);
if($stm->fetch(PDO::FETCH_NUM)[0]==="1"){
    // valid token!
}else{
    // invalid token =(
}

现在您可能会想知道

为什么要费心地对令牌进行哈希处理，为什么不只将它们保存为纯文本呢？

这是为了防止定时攻击，散列会进行长度填充，所以黑客无法使用定时攻击来推断令牌的实际长度（这可能有助于攻击者进行蛮力/字典式攻击），并且实际令牌，输入字符串和定时的正确位数之间没有关联攻击，即使黑客设法推断出the first 8 bits of the hash is definitely 10010111，对于要推断出的每个比特，查找散列到已知比特+1的字符串也变得越来越困难，最终结果是攻击该方案定时攻击应该是完全不可行的（至少对于sha2-384是这样）