如何使令牌过期答案

【问题标题】：How do i make a token expire如何使令牌过期
【发布时间】：2014-01-01 10:15:02
【问题描述】：

我正在尝试使用 PHP 编写密码恢复脚本，在 SO 中查看这里之后，最佳实践的共识似乎是

生成过期令牌
通过电子邮件向用户发送令牌
用户点击令牌并更改密码。

我目前有生成令牌的功能，但我将如何使其过期？另外，令牌的良好保质期是多少？

令牌生成代码：

    function crypto_rand_secure($min, $max) {
        $range = $max - $min;
        if ($range < 0) return $min; // not so random...
        $log = log($range, 2);
        $bytes = (int) ($log / 8) + 1; // length in bytes
        $bits = (int) $log + 1; // length in bits
        $filter = (int) (1 << $bits) - 1; // set all lower bits to 1
        do {
            $rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
            $rnd = $rnd & $filter; // discard irrelevant bits
        } while ($rnd >= $range);
        return $min + $rnd;
}

function GenerateToken($length){
    $token = "";
    $codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
    $codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
    $codeAlphabet.= "0123456789";
    for($i=0;$i<$length;$i++){
        $token .= $codeAlphabet[crypto_rand_secure(0,strlen($codeAlphabet))];
    }
    return $token;
}

P.s 上面的代码是从 S.O 上的另一个问题复制粘贴的

【问题讨论】：

标签： php passwords token

【解决方案1】：

你可以这样做

使用以下字段创建一个名为 password_recovery 的表

id 主键自动递增
iduser int(11) // 长度可以根据需要选择
token_key varchar(100) // 长度可以根据需要选择
expire_date 日期时间
created_date 日期时间

现在，当有人请求恢复密码时，通常通过输入登录名或电子邮件获取该用户的 iduser。然后生成令牌。您可以根据需要设置 expire_date。假设从现在开始 1 天，您可以使用 strtotime() 来生成它。在 password_recovery 表中插入这些值。

然后将电子邮件发送给用户的电子邮件 ID，例如

yourdomain.com/passrecover.php?h=[上面的令牌]

一旦用户点击链接，运行代码检查令牌是否有效以及是否过期。如果是这样，请显示密码重置表单。您将拥有来自该令牌的 iduser。否则显示错误信息。

最后一旦用户重置密码，从表中删除该行。

您还可以使用 cronjob 脚本从表中删除过期的令牌。

【讨论】：

【解决方案2】：

要使其过期，您需要将创建日期存储在您的系统上或以某种方式编码在令牌中，并在兑换令牌时检查这一点。

【讨论】：

这是正确的。在您的情况下，除了在服务器上生成的令牌之外，我只会存储创建日期，而不是通过在令牌中嵌入信息来使事情复杂化。
这意味着对于每次登录，检查应用程序创建的创建日期和到期日期。如果应用创建日期大于过期日期，则删除并重新创建令牌。我说的对吗？

【解决方案3】：

将令牌及其到期时间（存储）保存在某处。在登录页面上，当您看到令牌时，您：

检查令牌是否存在于存储中（如果不存在则为错误令牌）
检查令牌到期日期
做着陆页的事情（更改密码或其他事情）
从存储中删除令牌（不再是好的令牌）

【讨论】：

我可以通过在创建令牌时存储时间戳，然后在赎回令牌时调用 time() 来做到这一点，如果差异大于指定值则被拒绝？我还必须对使用上面的代码生成的令牌进行哈希处理吗？

【解决方案4】：

从我的数据库中获取输入电子邮件。在我的数据库中生成并存储一个长度为 10 的令牌与 0123456789qwertzuioplkjhgfdsayxcvbnm 混合。发送带有参数的电子邮件并更新用户 SET 令牌以在 5 分钟后过期。

**   <?php
    if (isset($_POST["forgotPass"])) {
        $connection = new mysqli("localhost", "root", "", "");

        $email = $connection->real_escape_string($_POST["email"]);

        $data = $connection->query("SELECT id FROM users WHERE email='$email'");

        if ($data->num_rows > 0) {
            $string = "0123456789qwertzuioplkjhgfdsayxcvbnm";
            $string = str_shuffle($string);
            $string = substr($string, 0, 10);
            $url = "resetPassword.php?token=$string&email=$email";

            mail($email, "Reset password", "To reset your password, please visit this: $url", "From: me@domain.com\r\n");

            $connection->query("UPDATE users SET token='$string', expire = DATE_ADD(NOW(), INTERVAL 5 MINUTE) WHERE email='$email'");

            echo "Please check your email!";
        } else {
            echo "Please check your inputs!";
        }
    }
?>
<html>
    <body>
        <form action="forgotPassword.php" method="post">
            <input type="text" name="email" placeholder="Email"><br>
            <input type="submit" name="forgotPass" value="Request Password">
        </form>
    </body>
</html>

【讨论】：