PHP - Smarty - Http請求攔截器

Question

我已經找到解釋如何生成令牌以及如何使用它的鏈接/答案，如this。

我的網站使用Smarty，並有很多已經存在的表單。我試圖找到一種方法在每個請求的頭部中發送一個令牌，並捕獲所有請求以驗證頭部。

如：在AngularJS，我可以使用$httpProvider.interceptors和headers['Authorization'] = 'Bearer ' + token;

我想創建這樣的

class Interceptor { 
    $token; 

    function __construct(type) { 
     switch (type) { 
      case 'beforeSending': 
       $token = md5(uniqid(rand(), TRUE)); 
       $_SESSION['token'] = $token; 
       $_SERVER['HTTP_authorization'] = 'Bearer ' + $token; 
       break; 
      case 'beforeExecuting': 
       if(hash_equals($_SESSION['token'], $_POST['token'])){ 
        //continue 
       }else{ 
        //error redirect to homePage or logout 
       } 
       break; 
     } 
    } 
} 

這應該存儲在會話令牌添加到每頭請求。

這也應該檢查每個請求是否包含正確的標記。

有沒有辦法在全球範圍內實現這一目標，而不是將輸入添加到每個表單並檢查每個調用？

Answer 1

好吧，有幾種方法，但爲了令牌得到適當的審查，更好的解決方案是讓它在登錄時生成（通過會話），然後存儲或通過表單推送它（所以你有或者如果令牌本身並不重要，只是它在那裏，請在允許處理腳本繼續前檢查是否存在令牌。

有幾種方法可以做到這一點，但只要您在登錄時創建會話令牌並將其存儲在服務器上，您需要在處理腳本上執行的操作如下所示：

<?php 
//check to see if session is started 
if (!session_id()) { session_start(); }; 

if (isset($_SESSION['token'])) { 
    //process the rest of the form 
} 
?>