我正在搞乱一个简单的授权方案。我认为没有SSL或其他HTTP身份验证的最简单的方法是共享密钥加密。调整了PHP手册中的一个简单示例,我想出了以下内容:
$text = "boggles the invisible monkey will rule the world";
$key = "This is a very secret key";
$iv_size = mcrypt_get_iv_size(MCRYPT_BLOWFISH, MCRYPT_MODE_ECB);
$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$enc = mcrypt_encrypt(MCRYPT_BLOWFISH, $key, $text, MCRYPT_MODE_ECB, $iv);
$iv = base64_encode($iv);
$enc = base64_encode($enc);
echo '<a href="temp2.php?iv='.$iv.'&text='.$enc.'">link</a><br />';
收到此请求的页面(temp2.php)如下所示:
$key = "This is a very secret key";
$iv = base64_decode($_GET["iv"]);
$enc = base64_decode($_GET["text"]);
$crypttext = mcrypt_decrypt(MCRYPT_BLOWFISH, $key, $enc, MCRYPT_MODE_ECB, $iv);
echo "$crypttext<br>";
这非常接近,但它没有正确解码 - 它回应
boggles the invisible monkey will rule t—;eôügJë
我不确定挂断是什么,我尝试了urlencode / urldecode和htmlentities,认为可能是一个字符在请求中被破坏了,但没有区别。
还有什么我想念的吗?也许填充?
由于
答案 0 :(得分:29)
您的加密文本最终会显示如下内容:
Z5DlBqT8yEB4HKLkAlvfJoWaHgnNVLFh7jls6L85sLriedc82uFQxm+M62I41oB7
在那里看到加号? URL中的加号会变成空格。
当手动将该加号转换为空格并解密结果时,输出就是您目睹的损坏的垃圾。
您应该通过rawurlencode(不 urlencode)运行IV和加密文本,然后再将其粘贴到链接中。这将正确编码加号,这将通过该过程保留它。您不需要(也不应该)urldecode另一方的字符串 - PHP将为您完成此操作。