最受欢迎

在 PHP 中为跨服务器通信生成和验证的一次性 CSRF 令牌

Single use CSRF token generation and validation for cross server communication in PHP

本文关键字:验证 一次性 令牌 CSRF PHP 通信 服务器 | 更新日期: 2023-09-27

我已经搜索了很多,试图找到适合我的目的的东西,但是大多数解决方案都围绕着与会话数据结合使用的CSRF令牌。我的目的是需要"基于时间"的令牌进行跨服务器通信。

我有Server A需要接收和验证通过 POST 从 Server B 发送到它的令牌。令牌需要在Server B上通过使用密钥进行哈希处理来生成。 Server A必须验证相同的内容。现在,问题是令牌需要限制为一次性使用(可能?),并且应该根据时间(例如10分钟的生命周期)过期。由于这是跨服务器通信,因此我无法使用会话。

恐怕我无法使用数据库或会话来存储/验证令牌。任何代码示例都会有所帮助。

这在 PHP 环境中是必需的。

您可以做的是在令牌密钥中添加时间戳,如创建令牌密钥的时间加上请求者 IP,然后在解密密钥时检查时间是否介于允许的时间或允许的 IP 地址之间。

固定 IP 的示例:

<?php
class csrf_check {
    const SALT = '_SECRET_';
    public function create_api_key()
    {
        return base64_encode($this->encrypt(time().'|'.$_SERVER['REMOTE_ADDR'])); // !change if you dont want IP check
    }
    public function check_api_key($key, $timeout = 5)
    {
        if (empty($key)) exit('Invalid Key');
        $keys = explode('|', $this->decrypt(base64_decode($key)));
        return (
            isset($key, $keys[0], $keys[1]) && 
            $keys[0] >= (time() - $timeout) && 
            $keys[1] == $_SERVER['REMOTE_ADDR'] // !change if you dont want IP check
        );
    }
    public function encrypt($string, $key = 'PrivateKey', $secret = 'SecretKey', $method = 'AES-256-CBC') {
        // hash
        $key = hash('sha256', $key);
        // create iv - encrypt method AES-256-CBC expects 16 bytes
        $iv = substr(hash('sha256', $secret), 0, 16);
        // encrypt
        $output = openssl_encrypt($string, $method, $key, 0, $iv);
        // encode
        return base64_encode($output);
    }
    public function decrypt($string, $key = 'PrivateKey', $secret = 'SecretKey', $method = 'AES-256-CBC') {
        // hash
        $key = hash('sha256', $key);
        // create iv - encrypt method AES-256-CBC expects 16 bytes
        $iv = substr(hash('sha256', $secret), 0, 16);
        // decode
        $string = base64_decode($string);
        // decrypt
        return openssl_decrypt($string, $method, $key, 0, $iv);
    }
}
$csrf = new csrf_check();
//start example 
$do = filter_input(INPUT_GET, 'do');
$key = filter_input(INPUT_GET, 'key');
switch ($do) {
    //example.com?do=get - a key for the request
    case "get": {
        $key = $csrf->create_api_key();
        echo '<a href="?do=check&key='.urlencode($key).'">Check Key ('.$key.')</a>';
    } break;
    //example.com?do=check - a key for the request
    case "check": {
        //key only lasts 30 secs & validate key passed
        //example.com?do=check&key=MEV6NXk4UjVRQXV5Qm1CMjBYa3RZZUhGd2M0YnFBUVF0ZkE5TFpNaElUTT0=
        echo 'Key ' . ($csrf->check_api_key($key, 30) ? 'valid' : 'invalid');
        echo '<br><a href="?do=get">Get new key</a>';
    } break;
    default: {
        echo '<a href="?do=get">Get Key</a>';
    } break;
}
相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习