如何从阵列中删除未使用的安全令牌

作者: 妖邪
发布时间: 2024-12-14 06:56:16 (1月前)
转自：

3 条回复

0#
回复此人
Just do it | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> 在正常情况下，一旦用户退出页面，他的cookie将被清除。（当他关闭浏览器时）。下次他打开浏览器并访问您的页面时，他将开始一个新的会话。 现在因为他丢失了对你的会话的引用而没有其他人正在使用它，会话文件将不再被访问，一旦它没有访问一段时间，垃圾收集器将清除它。 因此，当用户离开页面时，您无需担心“清除安全令牌”。这是自动处理的。除非您自己搞过会话管理。见 <a href="http://us.php.net/manual/en/session.configuration.php" rel="nofollow"> 会话设置 </A> 您可以更改的选项的信息。 现在，如果您的目标是在用户仍在使用相同会话的页面上时清除令牌，则有几个选项。 第一种方法是每个会话使用一个安全令牌。如果用户关闭了页面（阅读：在您的网站上加载另一个页面），那么他将在其中发布新令牌 <code> $_SESSION['token'] </code> （没有数组）旧的清除。这确实需要你在a之后检查令牌 <code> POST </code> 在你改变它之前。 另一个选择是只保留最后5个左右的标记。然后你可以保持清洁，而无需改变令牌的检查。您可以使用 <a href="http://nl3.php.net/manual/en/function.array-shift.php" rel="nofollow"> array_shift </A> 要做到这一点 <pre> <code> <? $tokens[] = 'new token'; if (count($tokens)>5) { array_shift($tokens); //first is removed, so the last 5 remain } ?> </code> </pre> 我能想到的最后一种方法是在令牌和页面请求上添加时间，循环所有令牌并检查时间。如果时间超过过去的xx分钟，请将其删除。 </DIV>

编辑
1#
回复此人
老人与海。 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> 与任何异步客户端 - 服务器状态一样，答案是 超时 。您无法保证将永久使用令牌，即使它最终被使用，您也无法知道何时。对于未使用的令牌，也没有明确的反馈机制;未使用的令牌根本就没用过。 因此，将时间戳与每个令牌相关联。您定期检查所有存储的令牌并删除您认为已过期的令牌。选择合理的到期时间表。例如。： <pre> <code> // run garbage collection roughly every 100 page loads if (mt_rand(0, 100) == 0) { foreach ($_SESSION['tokens'] as $i => $token) { if ($token['timestamp'] < time() - 3600) { unset($_SESSION['tokens'][$i]); } } } </code> </pre> 由于会话最终由相同的机制自行到期，也许您可以简单地将其留给会话到期。 </DIV>

编辑

登录后才能参与评论