由于您不希望客户端可以解码信息,这意味着您不需要完整的 URL - 执行线程必须返回到您的服务器进行处理。在这种情况下,为什么要费心加密费用——只需分配一个引用原始 id 的随机数(检查冲突)。显然,随机数集越稀疏,发生冲突的可能性就越小。
在我所有的应用程序中,我在另一端使用base64_encode和base64_decode对 URL 进行了编码。
我相信这是最好的方法,因为您不会将敏感数据传输给客户端。
否则,您应该将这些 URL 保存在数据库中(或者可能是参数),然后发送一个 ID
如果您需要加密,请寻找像 AES 这样的对称加密,然后对结果进行 base64 编码。
如果您只需要编码,然后通过 Base64 编码,这是您的最佳选择。
并非在这两种情况下,您都需要注意某些浏览器 URL 长度或 Web 服务器 GET 支持是有限的……一定长度(在 2000 到 80000 之间,具体取决于浏览器和 Web 服务器)
还要考虑需要如何传输链路。很长的网址不方便。您可以非常轻松地安装yourls.org或类似网站以缩短您的 URL。
在我自己开发的 CMS 控制面板中,如果您尝试访问一个 URL 并且没有登录,您将被重定向到一个如下所示的 URL(例如):/?return=Epf7psjPeRHeEsCoa56xvvF9QiaT%2B02P5FUSbA0Ttl%2Bv3LalZ26sqzSAV6WrNKNWK%2FDD%2FngSbVjJ%2FyUuG9QIWA%3D%3D
成功验证后,您将返回正确的 URL。如果您试图篡改这些数据,它会(以压倒性的可能性)将您踢到主页。
如果这就是你要找的,这就是我实现它的方式:
if ($_SERVER['REQUEST_URI'] !== '/') {
if (empty($_SESSION['cms_user_id_key_here'])) {
$encrypted = \Defuse\Crypto\Crypto::encrypt(
$_SERVER['REQUEST_URI'],
URL_KEY_CONST
);
header('Location: /?return='.urlencode(base64_encode($encrypted)));
exit;
}
}
然后,在成功登录后:
if (isset($_GET['return'])) {
try {
$decrypted = \Defuse\Crypto\Crypto::encrypt(
base64_decode($_GET['return'],
URL_KEY_CONST
);
// Defense-in-depth; we always want a relative URL:
if ($decrypted[0] === '/') {
header('Location: '.$decrypted);
} else {
header('Location: /');
}
} catch (\Defuse\Crypto\Exception\CryptoException $e) {
header('Location: /');
}
exit;
}
你问这是什么神秘\Defuse\Crypto\Crypto::encrypt()的\Defuse\Crypto\Crypto::decrypt()?当然是defuse/php 加密。
在几乎所有情况下,您都应该优先使用提供经过身份验证的加密的库,而不是滚动您自己的未经身份验证的加密。