url https://coding.imooc.com/class/135.html
有效时间校验
前面的视频里,为了安全,有3个措施
- 1 加密 , 对header里的东西进行加密成一个字符串
- 2 时间有效 , 发起请求里的时间要小于now+设定的有效时间
- 3 唯一性 ,对发起过一次请求,判定没问题后,存在cache里。如果cache里已经有了,说明是多次请求,报error
视频中的代码
设定时间
list($t1, $t2) = explode(' ', microtime());
return $t2 . ceil($t1 * 1000);
判断有效性
if ((time() - ceil($arr['time'] / 1000)) > config('app.app_sign_time')) {
return false;
}
基于上面的说明看了下以前的代码,呵呵,只有2
简单回顾下
在commonController的beforeAction中,首先判断action的名字,如果确定不是发行token的,进行token的解析
if ($oAction->controller->id !== self::GET_CORE_TOKEN) { // 在这里判断action的名字
Yii::$app->log4->writeLog('MAIN00009', ['token' => $this->oPassForm->coreToken]);
$bRet = $this->setUserId() ;
if ($bRet === false) {
return false;
}
Yii::$app->log4->writeLog('MAIN00008', ['userid' => $this->getUserId()]);
}
在setUserId方法中,进行token的解密和设定userid,为action中利用userid做准备
// 先判断长度
if (strlen($this->oPassForm['coreToken']) === self::NEW_CORE_TOKEN_LENGTH) {
// 拿前半段的userid
$sCoreTokenUser = $oCrypt->decrypt(hex2bin(substr($this->oPassForm['coreToken'], 0, self::USER_ID_ENCRYPTION_LENGTH)));
// 拿后半段的时间
$sCoreTokenDate = $oCrypt->decrypt(hex2bin(substr($this->oPassForm['coreToken'], self::USER_ID_ENCRYPTION_LENGTH)));
if ($sCoreTokenUser === false || $sCoreTokenDate === false) {
throw new BadConditionException('coreToken解密失败');
}
// userid设定
$sTmpUserId = $sCoreTokenUser;
// 有效期限设定
$sDateTime = $sCoreTokenDate;
}
// userid 正则检查
if (!preg_match('/^[0-9]{10}$/', $sTmpUserId)) {
return false;
}
//有效期限 正则检查
if (!preg_match('/^[0-9]{14}\.[0-9]{3}$/', $sDateTime)) {
return false;
}
// 利用microtime组合成 日期+时间的一个float数字,用来比较
list($sNowMicro, $sNowDate) = explode(' ', microtime());
$fNow = (float)$sNowDate + $sNowMicro; // 看样子当时写代码的人还不知道可以加个参数用microtime(true)直接生成float
list($sTokenDate, $sTokenMicro) = explode('.', $sDateTime);
$fTokenDate = (float)(strtotime($sTokenDate) . '.' . $sTokenMicro);// 注意这里,这里用了strtotime来转换时间到时间戳,看下面有关加密的说明
$fAuthPeriod = (float)Yii::$app->params['pass']['GetCoreToken']['AuthPeriod'];
if ( $fTokenDate + $fAuthPeriod < $fNow ) {
return false;
}
对于时间的加密部分
list($sMicro, $sSecond) = explode(' ', microtime());
// 加密时间(YYYYmmddHHiissSSS)
$sCoreTokenSndHalf = $oCrypt->encrypt(date('YmdHis', $sSecond) . substr($sMicro, 1, 4));
- 也许是为了进一步增加加密的难度,将时间戳部分转换成了YmdHis部分,然后加微秒部分
- 相对应的,在解密时,先要将前半部分转换成时间戳
- 微秒部分只取了4位,应该是因为float一般都是14位长度,时间戳占了10位,所以微秒部分只需要3位外加一个小数点就够了
跟下面本地验证的结果稍有不符,下面是10+4位的float,而上面的代码是10+3位的float
看来还是有些欠缺啊
关于float的说明url http://www.php.net/manual/zh/language.types.float.php
<?php
list($sNowMicro, $sNowDate) = explode(' ', microtime());
$fNow = (float)$sNowDate + $sNowMicro;
var_dump($fNow);
var_dump(microtime(true));
var_dump(microtime());
结果是
float(1525160016.4292)
float(1525160016.4292)
string(21) "0.42921000 1525160016"
