摘要:使用注意該庫(kù)并不是一個(gè)加密庫(kù),所以不建議用來加密敏感數(shù)據(jù)��,我們的數(shù)據(jù)庫(kù)主鍵并不是業(yè)務(wù)上的敏感數(shù)據(jù)���,所以這個(gè)沒關(guān)系����。
為什么要保護(hù)數(shù)據(jù)庫(kù)主鍵?
數(shù)據(jù)庫(kù)主鍵一般是有序自增主鍵����,極易被爬蟲抓取數(shù)據(jù)�,作為應(yīng)用開發(fā)者����,這是不應(yīng)該的,你辛辛苦苦收集的數(shù)據(jù)轉(zhuǎn)眼之間被其他人給抓取了���,是不是很大的損失�����?
Hashids的介紹
generate short unique ids from integers
理解為數(shù)字編碼庫(kù)即可�,幾乎支持市面上所有語言��。
available in JavaScript, Ruby, Python, Java, Scala, PHP, Perl, Perl 6, Swift, Clojure, Objective-C, C, C++11, D, F#, Go, Erlang, Lua, Haskell, OCaml, Elixir, Rust, Smalltalk, ColdFusion, Groovy, Kotlin, Nim, VBA, Haxe, Crystal, Elm, ActionScript, CoffeeScript, Bash, R, TSQL, PostgreSQL and for
PHP使用
$hashids = new HashidsHashids("this is my salt");
$id = $hashids->encode(1, 2, 3);
$numbers = $hashids->decode($id);
注意
該庫(kù)并不是一個(gè)加密庫(kù)��,所以不建議用來加密敏感數(shù)據(jù)��,我們的數(shù)據(jù)庫(kù)主鍵ID并不是業(yè)務(wù)上的敏感數(shù)據(jù)��,所以這個(gè)沒關(guān)系���。
Yii2的使用
由于該編解碼是獨(dú)立與業(yè)務(wù)之外的��,所以需要處理的地方在下面:
接收請(qǐng)求數(shù)據(jù)的自動(dòng)解碼
響應(yīng)數(shù)據(jù)的自動(dòng)編碼(本文只針對(duì)JSON響應(yīng)處理�,有需要的可以添加ResponseFormatter自行處理)
這兩個(gè)步驟不應(yīng)該提現(xiàn)在控制器中,控制器拿到的數(shù)據(jù)是解碼好的��,響應(yīng)的數(shù)據(jù)是原始數(shù)據(jù)�����,然后我們?cè)陧憫?yīng)中處理�。
代碼
助手類(HashidsHelper)
class HashidsHelper {
public static function encode($id)
{
$hashids = new HashidsHashids("salt",16);
return $hashids->encode($id);
}
public static function decode($hash)
{
$hashids = new HashidsHashids("salt",16);
$data= $hashids->decode($hash);
return empty($data)?null:$data;
}
public static function decodeArray(array $hashes)
{
return array_map([HashidsHelper::class, "decode"], $hashes);
}
/**
* 遞歸編碼
* @param array $data
*/
public static function encodeRecursive(array &$data)
{
foreach ($data as $key => &$value) {
if (is_array($value)) {
self::encodeRecursive($value);
continue;
}
if (strpos($key, "id") !== false && is_numeric($value)) {
$data[$key] = static::encode($value);
}
}
}
/**
* 遞歸解碼
* @param array $data
*/
public static function decodeRecursive(array &$data)
{
foreach ($data as $key => &$value) {
if (is_array($value)) {
self::decodeRecursive($value);
continue;
}
if (strpos($key, "id") !== false) {
if (is_string($value)) {
$id = static::decode($value);
$data[$key] = $id ?? $value;
} elseif (is_array($value)) {
$data[$key] = static::decodeArray($value);
}
}
}
}
}
處理請(qǐng)求數(shù)據(jù)($_POST,$_PUT,$_GET)提交過來的數(shù)據(jù)
1.新建JsonParser繼承Yii自帶的JsonParser,代碼如下
class JsonParser extends yiiwebJsonParser
{
/**
* @inheritDoc
*/
public function parse($rawBody, $contentType)
{
$data = parent::parse($rawBody, $contentType);
if ($data !== null) {
HashidsHelper::decodeRecursive($data);
}
return $data;
}
}
2.新建Request集成Yii自帶的Request�����,重寫getQueryParams����,代碼如下:
public function getQueryParams()
{
$data = parent::getQueryParams();
if ($data !== null) {
HashidsHelper::decodeRecursive($data);
}
return $data;
}
3.配置web.php的components,更改為我們自定義的處理器
"request" => [
"class" => appcomponentsRequest::class,
// !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
"cookieValidationKey" => "123456",
"enableCsrfValidation" => false,
"parsers" => [
"application/json" => appcomponentswebJsonParser::class
]
],
處理響應(yīng)數(shù)據(jù)
1.新建JsonResponseFormatter繼承Yii的JsonResponseFormatter�����,代碼如下:
class JsonResponseFormatter extends yiiwebJsonResponseFormatter
{
/**
* @inheritDoc
*/
public function format($response)
{
if ($response->data !== null) {
HashidsHelper::encodeRecursive($response->data);
}
parent::format($response);
}
}
2.配置web.php的components���,替換response組件
"response" => [
"class" => appcomponentswebResponse::class,
"format" => Response::FORMAT_JSON,
"formatters" => [
"json" => [
"class" => appcomponentswebJsonResponseFormatter::class,
"prettyPrint" => YII_DEBUG
]
]
],
測(cè)試
1.SiteController添加方法
public function actionA($corporation_id)
{
$data = Yii::$app->request->post();
var_dump($data, $corporation_id);
}
public function actionB()
{
return [
"app_id" => 1,
"app" => [
"app_id" => 2
]
];
}
2.請(qǐng)求測(cè)試,這個(gè)加密過的hash讀者可能解不開,因?yàn)槲覀冇玫膕alt不一樣���,替換為你自己的即可
POST /site/a?corporation_id=XaYeAV2q80pkB4KL
{
"corporation_id": "XaYeAV2q80pkB4KL",
"applet":{
"id":"XaYeAV2q80pkB4KL",
"appid":"xxxxxx"
}
}
3.響應(yīng)的內(nèi)容如下:
array(2) {
["corporation_id"]=>
int(1)
["applet"]=>
array(2) {
["id"]=>
int(1)
["appid"]=>
string(6) "xxxxxx"
}
}
int(1)
4.響應(yīng)測(cè)試
GET /site/b
5.響應(yīng)內(nèi)容如下
{
"app_id": "XaYeAV2q80pkB4KL",
"app": {
"app_id": "LOnMp3QR5lryDgRK"
}
}
寫在最后
不知道這個(gè)算不算AOP編程���?個(gè)人覺得算,在業(yè)務(wù)邏輯之外處理���,業(yè)務(wù)層對(duì)外部輸入和自身輸出是透明的(理解為業(yè)務(wù)層自己不知道加解密)����。
本文核心在于兩個(gè)遞歸方法�,其他語言類似,像nodejs可以使用中間件來處理����。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/29086.html
