php动态密码和加密解密函数的使用(动态密码、Discuz核心函数AuthCode、任意输入密码验证)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: php动态密码和加密解密函数的使用(动态密码、Discuz核心函数AuthCode、任意输入密码验证)

一、项目说明

在开发大屏时,需要在前端输入密码,以便认证用户的登录权限。但是本次的项目需求是,没有数据库存储密码,且希望每次密码都不相同,最好是动态密码。

二、项目分析

没有数据库储存密码,意味着密码将以明文或密文的形式储存于php文件中。从安全性和保密性来说,不是很强。登录、验证、判断即可。

动态密码,既能满足动态不断变换又能是通用规则,内部员工知晓即可的条件,就自有不断变换的时间了。

基于此,做了个简单的DEMO。输入年时间作为动态密码,在后端验证时,任意输入密码字符串,只要包含当前符合规则的联系数字即可。现在是2023年4月24日 18:05,生成的密码分为三种情况:

  1. 20231805,8位数字;
  2. 231805,6位数字;
  3. 1805,4位数字;



1.js外部文件

  <title>漏刻有时密码测试工具</title>
    <script type="text/javascript" src="js/jquery.min.js"></script>
    <script type="text/javascript" src="js/functions.js"></script>
    <!--layui封装库-->
    <script src="js/layui/layui.js" charset="utf-8"></script>
    <link rel="stylesheet" href="js/layui/css/layui.css">


2.HTML容器构建

<div class="layui-fluid" style="margin-top: 20px;">
    <form class="layui-form layui-form-pane" lay-filter="component-form-group">
        <div class="layui-card">
            <div class="layui-card-header" style="font-weight: bold;text-align: center;">漏刻有时密码测试工具</div>
            <div class="layui-card-body" style="padding: 15px;">
                <div class="layui-form-item">
                    <label class="layui-form-label">测试密码<span class="x-red">*</span></label>
                    <div class="layui-input-inline"><input type="password" id="password" name="password" autocomplete="off" lay-verify="password" class="layui-input"></div>
                    <div class="layui-form-mid layui-word-aux"><span id="passTips" class="x-red"></span></div>
                </div>
                <div class="layui-form-item">
                    <label class="layui-form-label">密码明文<span class="x-red">*</span></label>
                    <div class="layui-input-inline"><input type="text" id="passshow" name="passshow" autocomplete="off" lay-verify="required" class="layui-input" readonly></div>
                </div>
                <div class="layui-form-item">
                    <a class="layui-btn layui-btn-fluid layui-btn-normal" lay-filter="save" id="L_add" lay-submit=""><i class="layui-icon layui-icon-search"></i> 确定配置 </a>
                </div>
            </div>
        </div>
    </form>
</div>


3.layui前端验证

  //同步密码;
    $("#password").change(function(){
        var $pass= $("#password").val();
        $("#passshow").val($pass);
    })
    layui.use(['form'], function () {
        var $ = layui.jquery;
        var form = layui.form;
        //验证规则
        form.verify({
            password: [/(?=.*[0-9])(?=.*[a-zA-Z]).{6,30}/, '密码必须同时包含字母和数字且至少6位']
        });
        //监听提交;
        form.on('submit(save)', function () {
            $.ajax({
                type: "post",
                url: "indexDeal.php?act=annual",
                async: true,
                data: {
                    pass: $('#password').val()
                },
                dataType: "json",
                success: function (res) {
                    if (res.code == 1) {
                        layer.msg(res.msg + "成功", {icon: 1, time: 1000}, function () {
                            $("#passTips").html("您的密码为:"+res.pass);
                        });
                    }else{
                        layer.msg(res.msg + "失败", {icon: 2, time: 1000}, function () {
                            $("#passTips").html("您的密码为:"+res.pass);
                        });
                    }
                }
            });
            return false;
        });
    });


4.php后端验证

$act = $_GET['act'];
if ($act == 'annual') {
    //获取前端输入密码
    $pass = trim($_POST['pass']);
    $res['code'] = dynamicCode($pass, 2);
    $res['pass'] = $pass;
    $res['msg'] = "密码已验证:";
    die(json_encode($res));
}


封装函数

/*判断是否包含*/
function getCode($str, $server_pass)
{
    if (strpos($str, $server_pass) === FALSE) {
        return 0;
    } else {
        return 1;
    }
}


密码验证规则

/*动态密码*/
function dynamicCode($str, $type = '1')
{
    /*$server_pass
     * 默认获取系统的时间,即服务器的时间
     * 默认客户端时间和系统时间同步;
     * 返回0,代表验证失败;1,代表验证成功;
    */
    /*验证密码
     * 1,前端获取的字符串是否包含连续的$server_pass,仿密码锁原理,只要联系输对即可
     * */
    switch ($type) {
        case 1://8位数字密码
            $server_pass = date('YHi');//时间格式20232330,代表2023年23:30
            return getCode($str, $server_pass);
            break;
        case 2:
            //六位密码
            $server_pass = date('yHi');//时间格式20232330,代表2023年23:30
            return getCode($str, $server_pass);
            break;
        case 3:
            //四位密码
            $server_pass = date('Hi');//时间格式20232330,代表2023年23:30
            return getCode($str, $server_pass);
            break;
        default:
            return 0;
    }
}

strpos内置函数

定义和用法

strpos(string,find,start)


strpos() f函数查找字符串在另一字符串中第一次出现的位置(区分大小写)。


相关函数:


strrpos() - 查找字符串在另一字符串中最后一次出现的位置(区分大小写)

stripos() -查找字符串在另一字符串中第一次出现的位置(不区分大小写)

strripos() - 查找字符串在另一字符串中最后一次出现的位置(不区分大小写)


三、经典的核心加密函数

1.Discuz!开发之核心加密解密函数

Discuz!开发的使用异或运算进行加密和解密的函数,Discuz!所有产品都是用这个函数。Discuz!整合UCenter的同步登录中authcode()就扮演者重要的角色。在同步登录(从项目登录到UCenter)的过程中,authcode()把用户的登录信息进行加密,因为没有加密的数据在传递过程中容易被截取,会暴露了用户的信息,authcode()的作用就是给传递的数据提供加密保护作用。在数据到达终端(UCenter)时authcode()再把加密的数据进行反向解密,还原数据。


AuthCode动态密匙加解密并设置密文有效期,相同的明文会生成不同密文。


AuthCode的算法非常经典和使用,在实际使用的过程中必须设置$key,防止被截获予以破解;

在使用get方式传递参数时,产生的+容易被当成空格处理,因此在接受参数的时候,需要予以替换解决。


<?php
/* 参数解释
   $string: 明文 或 密文
   $operation:DECODE表示解密,其它表示加密
   $key: 密匙
   $expiry:密文有效期*/
if(!function_exists('AuthCode'))
{
    function AuthCode($string, $operation='DECODE', $key='', $expiry=0)
    {
        // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
        // 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。
        // 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方
        // 当此值为 0 时,则不产生随机密钥
        $cfg_auth_key = '';
        $ckey_length = 4;
        // 密匙
        $key = md5($key ? $key : $cfg_auth_key);
        // 密匙a会参与加解密
        $keya = md5(substr($key, 0, 16));
        // 密匙b会用来做数据完整性验证
        $keyb = md5(substr($key, 16, 16));
        // 密匙c用于变化生成的密文
        $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
        // 参与运算的密匙
        $cryptkey = $keya.md5($keya.$keyc);
        $key_length = strlen($cryptkey);
        // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),解密时会通过这个密匙验证数据完整性
        // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
        $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
        $string_length = strlen($string);
        $result = '';
        $box = range(0, 255);
        $rndkey = array();
        // 产生密匙簿
        for($i = 0; $i <= 255; $i++)
        {
            $rndkey[$i] = ord($cryptkey[$i % $key_length]);
        }
        // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上并不会增加密文的强度
        for($j = $i = 0; $i < 256; $i++)
        {
            //$j是三个数相加与256取余
            $j = ($j + $box[$i] + $rndkey[$i]) % 256;
            $tmp = $box[$i];
            $box[$i] = $box[$j];
            $box[$j] = $tmp;
        }
        // 核心加解密部分
        for($a = $j = $i = 0; $i < $string_length; $i++)
        {
            //在上面基础上再加1 然后和256取余
            $a = ($a + 1) % 256;
            $j = ($j + $box[$a]) % 256;//$j加$box[$a]的值 再和256取余
            $tmp = $box[$a];
            $box[$a] = $box[$j];
            $box[$j] = $tmp;
            // 从密匙簿得出密匙进行异或,再转成字符,加密和解决时($box[($box[$a] + $box[$j]) % 256])的值是不变的。
            $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
        }
        if($operation == 'DECODE')
        {
            // substr($result, 0, 10) == 0 验证数据有效性
            // substr($result, 0, 10) - time() > 0 验证数据有效性
            // substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性
            // 验证数据有效性,请看未加密明文的格式
            if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16))
            {
                return substr($result, 26);
            }
            else
            {
                return '';
            }
        }
        else
        {
            // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
            // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
            return $keyc.str_replace('=', '', base64_encode($result));
        }
    }
}


2.常用简单加密解密函数

下面的加密解密函数是一段比较简单的算法,仅限于数字、字母和大小写,在对保密性要求不高的情形下,可以使用。

function lockAuth($tex, $key, $type = "encode")
{
    $chrArr = array('a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z',
        'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z',
        '0', '1', '2', '3', '4', '5', '6', '7', '8', '9');
    if ($type == "decode") {
        if (strlen($tex) < 14) return false;
        $verity_str = substr($tex, 0, 8);
        $tex = substr($tex, 8);
        if ($verity_str != substr(md5($tex), 0, 8)) {
            //完整性验证失败
            return false;
        }
    }
    $key_b = $type == "decode" ? substr($tex, 0, 6) : $chrArr[rand() % 62] . $chrArr[rand() % 62] . $chrArr[rand() % 62] . $chrArr[rand() % 62] . $chrArr[rand() % 62] . $chrArr[rand() % 62];
    $rand_key = $key_b . $key;
    $rand_key = md5($rand_key);
    $tex = $type == "decode" ? base64_decode(substr($tex, 6)) : $tex;
    $texlen = strlen($tex);
    $reslutstr = "";
    for ($i = 0; $i < $texlen; $i++) {
        $reslutstr .= $tex{$i} ^ $rand_key{$i % 32};
    }
    //加密
    if ($type != "decode") {
        $reslutstr = trim($key_b . base64_encode($reslutstr), "==");
        $reslutstr = substr(md5($reslutstr), 0, 8) . $reslutstr;
    }
    return $reslutstr;
}


@漏刻有时

相关文章
|
8天前
|
设计模式 数据库连接 PHP
PHP中的设计模式:提升代码的可维护性与扩展性在软件开发过程中,设计模式是开发者们经常用到的工具之一。它们提供了经过验证的解决方案,可以帮助我们解决常见的软件设计问题。本文将介绍PHP中常用的设计模式,以及如何利用这些模式来提高代码的可维护性和扩展性。我们将从基础的设计模式入手,逐步深入到更复杂的应用场景。通过实际案例分析,读者可以更好地理解如何在PHP开发中应用这些设计模式,从而写出更加高效、灵活和易于维护的代码。
本文探讨了PHP中常用的设计模式及其在实际项目中的应用。内容涵盖设计模式的基本概念、分类和具体使用场景,重点介绍了单例模式、工厂模式和观察者模式等常见模式。通过具体的代码示例,展示了如何在PHP项目中有效利用设计模式来提升代码的可维护性和扩展性。文章还讨论了设计模式的选择原则和注意事项,帮助开发者在不同情境下做出最佳决策。
|
2月前
|
存储 NoSQL 数据库
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
这篇文章讲述了在分布式微服务系统中添加用户注册和登录功能的过程,重点介绍了用户注册时通过远程服务调用第三方服务获取短信验证码、使用Redis进行验证码校验、对密码进行MD5加密后存储到数据库,以及用户登录时的远程服务调用和密码匹配校验的实现细节。
认证服务---整合短信验证码,用户注册和登录 ,密码采用MD5加密存储 【二】
|
26天前
|
存储 安全 算法
RSA在手,安全我有!Python加密解密技术,让你的数据密码坚不可摧
【9月更文挑战第11天】在数字化时代,信息安全至关重要。传统的加密方法已难以应对日益复杂的网络攻击。RSA加密算法凭借其强大的安全性和广泛的应用场景,成为保护敏感数据的首选。本文介绍RSA的基本原理及在Python中的实现方法,并探讨其优势与挑战。通过使用PyCryptodome库,我们展示了RSA加密解密的完整流程,帮助读者理解如何利用RSA为数据提供安全保障。
43 5
|
28天前
|
安全 数据安全/隐私保护 Python
情书也能加密?Python AES&RSA,让每一份数据都充满爱的密码
【9月更文挑战第8天】在这个数字化时代,情书不再局限于纸笔,也可能以电子形式在网络中传递。为了确保其安全,Python提供了AES和RSA等加密工具,为情书编织爱的密码。首先,通过安装pycryptodome库,我们可以利用AES对称加密算法高效保护数据;接着,使用RSA非对称加密算法加密AES密钥和IV,进一步增强安全性。即使情书被截获,没有正确密钥也无法解读内容。让我们用Python为爱情编织一张安全的网,守护每份珍贵情感。
31 2
|
2月前
|
存储 算法 Java
在Java中使用MD5对用户输入密码进行加密存储、同时登录验证。
这篇文章详细介绍了在Java项目中如何使用MD5算法对用户密码进行加密存储和登录验证,包括加入依赖、编写MD5工具类、注册时的密码加密和登录时的密码验证等步骤,并通过示例代码和数据库存储信息展示了测试效果。
在Java中使用MD5对用户输入密码进行加密存储、同时登录验证。
|
2月前
|
安全 Java 云计算
JSF 应用究竟何去何从?云端部署能否成为其全新突破点?快来一探究竟!
【8月更文挑战第31天】本文介绍了将JavaServer Faces(JSF)应用部署到云平台的过程。首先,根据成本、功能、可靠性和安全性选择合适的云平台。接着,展示了构建简单JSF应用的示例代码。最后,以AWS Elastic Beanstalk为例,详细说明了部署流程。部署至云端可提升应用的可用性、扩展性和安全性。
32 0
|
2月前
|
安全 数据安全/隐私保护 Python
|
2月前
|
JSON 算法 API
【Azure API 管理】APIM 配置Validate-JWT策略,验证RS256非对称(公钥/私钥)加密的Token
【Azure API 管理】APIM 配置Validate-JWT策略,验证RS256非对称(公钥/私钥)加密的Token
|
2月前
|
安全 Nacos 数据安全/隐私保护
【技术干货】破解Nacos安全隐患:连接用户名与密码明文传输!掌握HTTPS、JWT与OAuth2.0加密秘籍,打造坚不可摧的微服务注册与配置中心!从原理到实践,全方位解析如何构建安全防护体系,让您从此告别数据泄露风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其连接用户名和密码的明文传输成为安全隐患。本文探讨加密策略提升安全性。首先介绍明文传输风险,随后对比三种加密方案:HTTPS简化数据保护;JWT令牌减少凭证传输,适配分布式环境;OAuth2.0增强安全,支持多授权模式。每种方案各有千秋,开发者需根据具体需求选择最佳实践,确保服务安全稳定运行。
107 0
|
4天前
|
安全 网络协议 网络安全
网络安全与信息安全:漏洞、加密与意识的三重奏
【9月更文挑战第32天】在数字世界的交响乐中,网络安全是那不可或缺的乐章。本文将带您深入探索网络安全的三大主题:网络漏洞的识别与防范、加密技术的奥秘以及安全意识的重要性。通过深入浅出的方式,我们将一起揭开这些概念的神秘面纱,并学习如何在实际生活中应用它们来保护自己的数字足迹。让我们开始这场既刺激又富有教育意义的旅程,提升个人和组织的网络安全防御能力。
下一篇
无影云桌面