資訊專欄INFORMATION COLUMN
摘要:使用注意該庫并不是一個加密庫,所以不建議用來加密敏感數據,我們的數據庫主鍵并不是業務上的敏感數據,所以這個沒關系。
為什么要保護數據庫主鍵?
數據庫主鍵一般是有序自增主鍵,極易被爬蟲抓取數據,作為應用開發者,這是不應該的,你辛辛苦苦收集的數據轉眼之間被其他人給抓取了,是不是很大的損失?
Hashids的介紹generate short unique ids from integers
理解為數字編碼庫即可,幾乎支持市面上所有語言。
available in JavaScript, Ruby, Python, Java, Scala, PHP, Perl, Perl 6, Swift, Clojure, Objective-C, C, C++11, D, F#, Go, Erlang, Lua, Haskell, OCaml, Elixir, Rust, Smalltalk, ColdFusion, Groovy, Kotlin, Nim, VBA, Haxe, Crystal, Elm, ActionScript, CoffeeScript, Bash, R, TSQL, PostgreSQL and forPHP使用
$hashids = new HashidsHashids("this is my salt");
$id = $hashids->encode(1, 2, 3);
$numbers = $hashids->decode($id);
注意
該庫并不是一個加密庫,所以不建議用來加密敏感數據,我們的數據庫主鍵ID并不是業務上的敏感數據,所以這個沒關系。
Yii2的使用由于該編解碼是獨立與業務之外的,所以需要處理的地方在下面:
接收請求數據的自動解碼
響應數據的自動編碼(本文只針對JSON響應處理,有需要的可以添加ResponseFormatter自行處理)
這兩個步驟不應該提現在控制器中,控制器拿到的數據是解碼好的,響應的數據是原始數據,然后我們在響應中處理。
代碼 助手類(HashidsHelper)class HashidsHelper {
public static function encode($id)
{
$hashids = new HashidsHashids("salt",16);
return $hashids->encode($id);
}
public static function decode($hash)
{
$hashids = new HashidsHashids("salt",16);
$data= $hashids->decode($hash);
return empty($data)?null:$data;
}
public static function decodeArray(array $hashes)
{
return array_map([HashidsHelper::class, "decode"], $hashes);
}
/**
* 遞歸編碼
* @param array $data
*/
public static function encodeRecursive(array &$data)
{
foreach ($data as $key => &$value) {
if (is_array($value)) {
self::encodeRecursive($value);
continue;
}
if (strpos($key, "id") !== false && is_numeric($value)) {
$data[$key] = static::encode($value);
}
}
}
/**
* 遞歸解碼
* @param array $data
*/
public static function decodeRecursive(array &$data)
{
foreach ($data as $key => &$value) {
if (is_array($value)) {
self::decodeRecursive($value);
continue;
}
if (strpos($key, "id") !== false) {
if (is_string($value)) {
$id = static::decode($value);
$data[$key] = $id ?? $value;
} elseif (is_array($value)) {
$data[$key] = static::decodeArray($value);
}
}
}
}
}
處理請求數據($_POST,$_PUT,$_GET)提交過來的數據
1.新建JsonParser繼承Yii自帶的JsonParser,代碼如下
class JsonParser extends yiiwebJsonParser
{
/**
* @inheritDoc
*/
public function parse($rawBody, $contentType)
{
$data = parent::parse($rawBody, $contentType);
if ($data !== null) {
HashidsHelper::decodeRecursive($data);
}
return $data;
}
}
2.新建Request集成Yii自帶的Request,重寫getQueryParams,代碼如下:
public function getQueryParams()
{
$data = parent::getQueryParams();
if ($data !== null) {
HashidsHelper::decodeRecursive($data);
}
return $data;
}
3.配置web.php的components,更改為我們自定義的處理器
"request" => [
"class" => appcomponentsRequest::class,
// !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
"cookieValidationKey" => "123456",
"enableCsrfValidation" => false,
"parsers" => [
"application/json" => appcomponentswebJsonParser::class
]
],
處理響應數據
1.新建JsonResponseFormatter繼承Yii的JsonResponseFormatter,代碼如下:
class JsonResponseFormatter extends yiiwebJsonResponseFormatter
{
/**
* @inheritDoc
*/
public function format($response)
{
if ($response->data !== null) {
HashidsHelper::encodeRecursive($response->data);
}
parent::format($response);
}
}
2.配置web.php的components,替換response組件
"response" => [
"class" => appcomponentswebResponse::class,
"format" => Response::FORMAT_JSON,
"formatters" => [
"json" => [
"class" => appcomponentswebJsonResponseFormatter::class,
"prettyPrint" => YII_DEBUG
]
]
],
測試
1.SiteController添加方法
public function actionA($corporation_id)
{
$data = Yii::$app->request->post();
var_dump($data, $corporation_id);
}
public function actionB()
{
return [
"app_id" => 1,
"app" => [
"app_id" => 2
]
];
}
2.請求測試,這個加密過的hash讀者可能解不開,因為我們用的salt不一樣,替換為你自己的即可
POST /site/a?corporation_id=XaYeAV2q80pkB4KL
{
"corporation_id": "XaYeAV2q80pkB4KL",
"applet":{
"id":"XaYeAV2q80pkB4KL",
"appid":"xxxxxx"
}
}
3.響應的內容如下:
array(2) {
["corporation_id"]=>
int(1)
["applet"]=>
array(2) {
["id"]=>
int(1)
["appid"]=>
string(6) "xxxxxx"
}
}
int(1)
4.響應測試
GET /site/b
5.響應內容如下
{
"app_id": "XaYeAV2q80pkB4KL",
"app": {
"app_id": "LOnMp3QR5lryDgRK"
}
}
寫在最后
不知道這個算不算AOP編程?個人覺得算,在業務邏輯之外處理,業務層對外部輸入和自身輸出是透明的(理解為業務層自己不知道加解密)。
本文核心在于兩個遞歸方法,其他語言類似,像nodejs可以使用中間件來處理。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/29086.html
摘要:自增序列類型數字主鍵,完全的自動增長,容易被判斷推導出其他的主鍵值。本方案就是使用解決易推導的問題,并且在數據量不大的情況下也不大。這些是彼此獨立生成的,碰撞風險非常小,可以忽略不計。是可以根據鹽值反向解碼的。增量輸入被破壞以保持不可思議。 ID管理方式的介紹 32位UUID轉Base64編碼,快速的id生成方案,問題在于編碼可讀性差,長度太長,查詢效率低。 自增序列類型數字主鍵,完...
摘要:整合了等高性能編碼算法,并提供了統一的優雅的簡單易用的調用接口,將敏感數據混淆編碼成可還原的非連續的安全的標識符。重構現有的發碼生成機制使用數據庫自帶的索引主鍵,但是對外進行混淆。對加密串進一步混淆,并生成安全的字符串。 Laravel Hashid 整合了 [Base62], [Base64], [Hashids], [Optimus] 等高性能編碼算法,并提供了統一的、優雅的、簡單...
摘要:活動規模既然公司對自如客這么闊,那對我們員工也得夠意思,所以年底我們共準備了個活動。拆分后,紅包占有只需操作,響應性能已不是問題。 首發于 樊浩柏科學院 2017 年是自如快速增長的一年,自如客突破 100 萬,管理資產達到 50 萬間,在年底成功獲得了 40 億 A 輪融資,而這些都要感謝廣大的自如客,公司為了回饋自如客,在六周年活動時就發放了 6000 萬租住基金,當然年底散幣活...
摘要:活動規模既然公司對自如客這么闊,那對我們員工也得夠意思,所以年底我們共準備了個活動。拆分后,紅包占有只需操作,響應性能已不是問題。 首發于 樊浩柏科學院 2017 年是自如快速增長的一年,自如客突破 100 萬,管理資產達到 50 萬間,在年底成功獲得了 40 億 A 輪融資,而這些都要感謝廣大的自如客,公司為了回饋自如客,在六周年活動時就發放了 6000 萬租住基金,當然年底散幣活...
摘要:是一個可以生成唯一的非順序的字符串號碼,它還可以對這些進行解密,你可以利用它來加密你不想暴露給用戶的數字。安裝你可以設置一些選項在里,或者你也可以在構造方法里面設置,但是我推薦你在中設置,這樣你可以擁有更好的性能。 Hashids 是一個可以生成唯一的非順序的字符串 ID 號碼,它還可以對這些 ID 進行解密,你可以利用它來加密你不想暴露給用戶的數字 ID。 安裝 $ git clon...
閱讀 1911·2021-11-09 09:46
閱讀 2489·2019-08-30 15:52
閱讀 2450·2019-08-30 15:47
閱讀 1324·2019-08-29 17:11
閱讀 1749·2019-08-29 15:24
閱讀 3505·2019-08-29 14:02
閱讀 2446·2019-08-29 13:27
閱讀 1203·2019-08-29 12:32
