PHP 实现 注册等的邮箱验证 （一）—— 加密函数 authcode

sunwy

邮箱验证的思路就是：发送一份包含激活链接的 EMAIL 到用户的邮箱中，这个激活链接 是通过GET方法传值，形如：

1. http://XXXXX.com/activation.html?encode=asdasdwquqwe123jhu213hu

复制代码

在 activation.html 中接收 encode 的值，并对其验证。验证又可以分为 解密 这个加密字符串，又或者从数据库中查找是否有这个encode存在（那么在发这封邮件之前，应该将encode的值存在数据库中）。

个人感觉 放到数据库中，思路简单一点，但是会对数据库进行查询操作，有点麻烦。我选择了第一种：加密之后，在接收的页面进行解密验证。可以选择 将 用户名 ，或者 email 加密，在 activation.html（激活页面） 将密文解密 获得 用户名，然后在数据库中 设定他 激活。

我使用了 现成的一个函数 authcode  ，这个是 discuz 中的一个加，解密函数。 我感觉这个函数很不错，每次对同一个字符串加密后，密文都不一样，但是该函数可以正确解密。

同时可以设定 密文 失效时间，准确到 秒数，这个正符合我们的要求，用户在规定时间里不点击链接，链接会自动失效！

下面贴出该函数，网上讲解其原理的文章也有，我就不贴了，有时间研究下。。。。

1. /**
   
2. * @param string $string 原文或者密文
   
3. * @param string $operation 操作(ENCODE | DECODE), 默认为 DECODE
   
4. * @param string $key 密钥
   
5. * @param int $expiry 密文有效期, 加密时候有效， 单位 秒，0 为永久有效
   
6. * @return string 处理后的 原文或者 经过 base64_encode 处理后的密文
   
7. *
   
8. * @example
   
9. *
   
10. * $a = authcode('abc', 'ENCODE', 'key');
    
11. * $b = authcode($a, 'DECODE', 'key');  // $b(abc)
    
12. *
    
13. * $a = authcode('abc', 'ENCODE', 'key', 3600);
    
14. * $b = authcode('abc', 'DECODE', 'key'); // 在一个小时内，$b(abc)，否则 $b 为空
    
15. */
    
16. function authcode($string, $operation = 'DECODE', $key = '', $expiry = 3600) {
    
17.         
    
18.         $ckey_length = 4;
    
19.         // 随机密钥长度 取值 0-32;
    
20.         // 加入随机密钥，可以令密文无任何规律，即便是原文和密钥完全相同，加密结果也会每次不同，增大破解难度。
    
21.         // 取值越大，密文变动规律越大，密文变化 = 16 的 $ckey_length 次方
    
22.         // 当此值为 0 时，则不产生随机密钥
    
23.         
    
24. 
    
25.         $key = md5 ( $key ? $key : 'key' ); //这里可以填写默认key值
    
26.         $keya = md5 ( substr ( $key, 0, 16 ) );
    
27.         $keyb = md5 ( substr ( $key, 16, 16 ) );
    
28.         $keyc = $ckey_length ? ($operation == 'DECODE' ? substr ( $string, 0, $ckey_length ) : substr ( md5 ( microtime () ), - $ckey_length )) : '';
    
29.         
    
30.         $cryptkey = $keya . md5 ( $keya . $keyc );
    
31.         $key_length = strlen ( $cryptkey );
    
32.         
    
33.         $string = $operation == 'DECODE' ? base64_decode ( substr ( $string, $ckey_length ) ) : sprintf ( '%010d', $expiry ? $expiry + time () : 0 ) . substr ( md5 ( $string . $keyb ), 0, 16 ) . $string;
    
34.         $string_length = strlen ( $string );
    
35.         
    
36.         $result = '';
    
37.         $box = range ( 0, 255 );
    
38.         
    
39.         $rndkey = array ();
    
40.         for($i = 0; $i <= 255; $i ++) {
    
41.                 $rndkey [$i] = ord ( $cryptkey [$i % $key_length] );
    
42.         }
    
43.         
    
44.         for($j = $i = 0; $i < 256; $i ++) {
    
45.                 $j = ($j + $box [$i] + $rndkey [$i]) % 256;
    
46.                 $tmp = $box [$i];
    
47.                 $box [$i] = $box [$j];
    
48.                 $box [$j] = $tmp;
    
49.         }
    
50.         
    
51.         for($a = $j = $i = 0; $i < $string_length; $i ++) {
    
52.                 $a = ($a + 1) % 256;
    
53.                 $j = ($j + $box [$a]) % 256;
    
54.                 $tmp = $box [$a];
    
55.                 $box [$a] = $box [$j];
    
56.                 $box [$j] = $tmp;
    
57.                 $result .= chr ( ord ( $string [$i] ) ^ ($box [($box [$a] + $box [$j]) % 256]) );
    
58.         }
    
59.         
    
60.         if ($operation == 'DECODE') {
    
61.                 if ((substr ( $result, 0, 10 ) == 0 || substr ( $result, 0, 10 ) - time () > 0) && substr ( $result, 10, 16 ) == substr ( md5 ( substr ( $result, 26 ) . $keyb ), 0, 16 )) {
    
62.                         return substr ( $result, 26 );
    
63.                 } else {
    
64.                         return '';
    
65.                 }
    
66.         } else {
    
67.                 return $keyc . str_replace ( '=', '', base64_encode ( $result ) );
    
68.         }
    
69. 
    
70. }

复制代码

1. $a = authcode('abc', 'ENCODE', 'key');
   
2. $b = authcode($a, 'DECODE', 'key');  // $b(abc)
   
3. 
   
4. //其中的 'key' 可以换成 你想要的安全字符串，比如'SAFE@31#'之类的，值的注意的是 ：加密时用的 ‘key’ 解密时必须一致！如：
   
5. //加密：
   
6. $a = authcode('abc', 'ENCODE', 'safe@@tt');
   
7. //解密：
   
8. $b = authcode($a, 'DECODE', 'safe@@tt');  // $b(abc)
   
9. 
   
10. //这样有很大的 灵活性 ，同时也很安全！
    
11. 
    
12. //设定 过期时间 （加密的时候设定！）
    
13. $a = authcode('abc', 'ENCODE', 'key', 3600);
    
14. $b = authcode('abc', 'DECODE', 'key'); // 在一个小时内，$b(abc)，否则 $b 为 空

复制代码

值得 注意的是， 该函数加密的密文 不能直接通过  URL 传值，这是为什么呢？？

因为 该函数 加密的密文 包含 ‘+’ ‘/’ ‘|’  等特殊字符，放到  URL 中会发生错误。我们通过 URL 传值，必须将这些 特殊字符 换成 URL 编码 ，这里使用PHP 的一个函数

1. urlencode  ()
   
2. 
   
3. This function is convenient when encoding a string to be used in a query part of a URL, as a convenient way to <span style="color:#ff00;">pass variables to the next page</span>.
   

复制代码

呵呵 手册就这样介绍的哇

下面简单的例子：

1. $safeEmail= authcode ( $email, 'ENCODE', 'safeEmail', 3600 );
   
2. $urlEnSafeEmail = urlencode ( $safeEmail );
   
3. 
   
4. /*链接 */
   
5. $link = "<a href = 'http://www.XXX.com/activation?code=$urlEnSafeEmail'>http://www.XXX.com/activation.html?code=$urlEnSafeEmail</a>";
   
6.        
   
7. 
   
8. //在 activation.html 页面
   
9. $code = @$_GET ['code'];
   
10. $email = authcode ( $code, 'DECODE', 'safeEmail' );
    
11. $user = findUserByEmail ( $email );//  对数据库 查找操作，视情况而定
    
12. if (!$user) {
    
13.         exit('非法操作');
    
14. }
    
15. echo "<script>alert('激活成功！');location.href='http://www.XXX.com/welcome.html'</script>";

复制代码

该贴已经同步到 sunwy的微博

wshzh137

收藏了