PHP - authcode
现 在网站的重置密码功能一般都会有通过账号的邮箱来实现重置密码的功能。
在重置密码界面输入邮箱账号,服务器就会向该邮箱发送一封邮件。
邮件内容一般会有一个链接,你点击链接便会跳转到设置新密码界面。
为什么扯这么多呢?好像很文章标题毫无关系呢 OωO
好的,开始文章主题了。
之所以能够成功到达设置新密码界面,要归功于你邮箱中接收到的那条链接。
链接一般会包含一段非常长的由各种字符无序排列组成的代码。
这段代码包含了很多重要的信息。
它可以由 authcode 方法生成并解密。
好的,终于开始正文了。
authcode 方法
/**
* 加密、解密操作
* @param string $string 原文或者密文
* @param string $operation 操作(ENCODE | DECODE), 默认为 DECODE
* @param string $key 密钥
* @param int $expiry 密文有效期, 加密时候有效, 单位 秒,0 为永久有效
* @return string 处理后的 原文或者 经过 base64_encode 处理后的密文
*
* @example
*
* $a = authcode('abc', 'ENCODE', 'key');
* $b = authcode($a, 'DECODE', 'key'); // $b(abc)
*
* $a = authcode('abc', 'ENCODE', 'key', 3600);
* $b = authcode('abc', 'DECODE', 'key'); // 在一个小时内,$b(abc),否则 $b 为空
*/
public static function authcode($string, $operation = 'DECODE', $key, $expiry = 0) {
$ckey_length = 4;
$key = md5($key);
$keya = md5(substr($key, 0, 16));
$keyb = md5(substr($key, 16, 16));
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
$string_length = strlen($string);
$result = '';
$box = range(0, 255);
$rndkey = array();
for($i = 0; $i <= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
}
for($j = $i = 0; $i < 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $tmp;
}
for($a = $j = $i = 0; $i < $string_length; $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $tmp;
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
}
if($operation == 'DECODE') {
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
} else {
return '';
}
} else {
return $keyc.str_replace('=', '', base64_encode($result));
}
}
原理
通过此方法,可将相关的数据加密为一段字符串,然后加入到前文提到的邮箱链接中。 当用户点击此链接访问后,服务器获取这段加密字符串。 对其解密后与之前的信息相对比,然后就可以进行下一步操作啦。
比如:用户在重置密码界面填写了邮箱。 然后点击发送邮件时,记录下当前时间戳。 同时,随机生成一段 N 位数的字符串。 然后将三者按照一定规则后拼接成一串字符串。 再用 authcode ENCODE 一下。 这就生成了那一大长串的随机无序字符串了。
注意
在将 ENCODE 出来的字符串加到链接前,需要先 urlencode 一下,再加进去。 因为生成的字符串中可能会包含 URL 不能解析的字符。
转载请标明出处
话说chills的网站下线了,所以再也没有copy你的博客的网站了。
哦耶 @(太开心)
这个是discuz里面的加密函数,在做微信开发的时候我也经常用到,防止恶意抓包!@(滑稽)
说句题外话,挺反感贵站直接拷贝我的css和js代码。
感觉很不舒服。
拿了一部分
用别人的东西前请先经过他人的允许好吧。
看到贵站时我还以为自己的站点被复制了呢 0-0
我这个刚搞没多久,看到好看就拿过来了,一些东西还没改,不喜欢我删掉就是了,就是在原有主题扩展的,把引入的删掉就行了。
好的,请贵站删除与小尾巴站点有关的所有代码,谢谢。