摘要:的特點主要有如下幾個唯一性時效性不可預測很多大型業(yè)務中�,比如說的找回密碼流程中�����,對于發(fā)給用戶的找回密碼鏈接郵件需要同時提交用戶輸入的驗證碼和也就是該校驗碼對應的����。
隨著互聯(lián)網(wǎng)的高速發(fā)展�,WEB2.0網(wǎng)站的業(yè)務越來越龐大���,一些token驗證在許多場景下都必不可少�����,比如說交易訂單的防止多次提交��,重要的敏感操作防止CSRF(跨站請求偽造)攻擊�����,以及短信驗證碼,找回密碼驗證碼,注冊登錄圖形的生成和驗證��。
token的特點主要有如下幾個:
唯一性
時效性
不可預測
很多大型業(yè)務中�,比如說BAT的找回密碼流程中��,對于發(fā)給用戶的找回密碼鏈接郵件需要同時提交用戶輸入的vcode驗證碼和vcode_md5也就是該校驗碼對應的token��。很多人認為這時需要一個緩存中間件比如說Redis或者Memcache來存儲校驗碼對應的需要重置密碼的用戶Uid�����。其實大可不必如此�����。
我們可以在服務器端使用rand()生成隨機數(shù),然后將生成的隨機數(shù)加上指定的salt做md5處理,比如說
function vcode($uid) {
$output["vcode_timestamp"] = time();
$output["vcode"] = $uid;
$output["vcode_md5"] = md5("changwei"+vcode_timestamp+$uid);
return $output;
}
生成的時候?qū)code和vcode_md5一起通過郵件發(fā)回給客戶�����。
那么驗證的時候該怎么驗證呢?很好辦����,把指定的鹽值加上校驗碼以及其他附帶信息(比如說用戶UID)進行md5運算����,和客戶端提交的那個事先發(fā)給客戶端的vcode_md5進行比較,如果一致那么就通過。
那么我們來看看這是否具有token的幾個特點呢�?首先��,唯一性�,可以通過uid(這個一般是用戶表的遞增主鍵����,不會重復)���,并且將當前時間戳作為隨機數(shù)種子�����,基本上可以認為是高度隨機的數(shù)字了��,加上md5加鹽運算之后客戶有視為高度近似的唯一性了����。不可預測性呢��?由于指定的salt是存儲在服務端��,只要這個salt足夠復雜而且沒有被泄漏����,那么這個vcode_md5肯定是無法被客戶端預測的��,也保證了這個方案的安全性��。
最后就是時效性了���,很多人總在糾結(jié),如果沒有Redis或Memcache�����,那么如何去存儲他的時效性呢�?通過cookie嗎��?不行�����,cookie是在客戶端的�,那么意味著是用戶可控的,不安全����。用session呢?標題寫了是低成本解決方案���,session存儲在服務端�����,在高并發(fā)請求數(shù)量龐大的大型網(wǎng)站中�����,每時每刻都有成千上萬的校驗碼生成�����,如果都存在session對于服務器壓力(尤其是IO)是十分大的���。那么還有什么辦法呢��?我們想想����,既然md5是消息摘要算法�,那么他就可以用來驗證數(shù)據(jù)在傳輸中途是否經(jīng)過了篡改,那么思路就來了�,我們在發(fā)回給用戶的表單中再加一個隱藏域,名字為vcode_timestamp,后端算法再改一改����,這次提供完整的驗證算法源代碼。
function vcode($uid) {
$output["vcode_timestamp"] = time();
$output["vcode"] = $uid;
$output["vcode_md5"] = md5("changwei"+vcode_timestamp+$uid);
return $output;
}
function verify() {
if(md5("changwei"+$_POST["vcode_timestamp"]+$_POST["uid"])===$_POST["vcode_md5"]) {
if(time()
這樣一來時效性也可以驗證了����,全過程沒有涉及到任何服務器端的存儲引擎,可以說是把成本降到了最低���。而且md5本身也是目前效率非常高的hash算法�,對于cpu的消耗也不是很大�����。
目前我的網(wǎng)站lol.changwei.me
中取消監(jiān)控鏈接便用的是該方案�,經(jīng)過上線一個月的測試����,基本上沒有出現(xiàn)什么BUG。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/64951.html
