nonce4php
1.0.0
PHP-библиотека менеджера nonce, полезная для предотвращения атак CSRF и повторного воспроизведения.
Мы можем найти несколько статей и видеороликов, объясняющих уязвимости, которые одноразовые номера пытаются предотвратить:
Однако кажется, что многие PHP-библиотеки nonce слишком ограничительны в сочетании с некоторой структурой, их сложно использовать или сложно понять, как они работают.
pedroac/nonce пытается решить эти проблемы.
Он позволяет выбрать любую реализацию PSR-16 для временного хранения одноразовых номеров, генераторов значений одноразовых номеров, интервалов истечения срока действия и даже поставщика DateTime для переопределения системы часов (эта функция используется для модульных тестов).
Он также предоставляет помощники для управления вводом, генерации случайных имен и значений nonce, проверки отправленных токенов на соответствие nonce и генерации элементов HTML.
Запустите команду:
composer require pedroac/nonce
Формы HTML можно протестировать с помощью встроенного веб-сервера PHP.
Из папки php/examples выполните команду:
php -S localhost:8000Используйте URL-адрес http://localhost:8000/ в браузере.
<?php
require __DIR__ . ' /../vendor/autoload.php ' ;
use Symfony Component Cache Simple FilesystemCache ;
use pedroac nonce NoncesManager ;
use pedroac nonce Form HtmlNonceField ;
use pedroac nonce Form NonceForm ;
// this handles automatically the input and nonce management
$ form = new NonceForm (
' token ' , // the HTML input name
new NoncesManager (
new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
)
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form ); if ( $ form -> isSubmittedValid ()) {
/**
* handle the success:
* - if all form input is valid, show success page;
* - otherwise, show an error page and the form again;
*/
} if ( $ form -> isSubmittedInvalid ()) {
/**
* handle failure:
* - don't show the form again;
* - show an error message;
*/
}<form method=" POST ">
<?= $ htmlField ?>
<!-- more HTML -->
<input type="submit" name="myform" value="Submit" />
</form> Срок действия nonce истекает автоматически, когда токен проверяется с помощью класса NonceForm .
<?php
require __DIR__ . ' /../vendor/autoload.php ' ;
use Symfony Component Cache Simple FilesystemCache ;
use pedroac nonce NoncesManager ;
$ manager = new NoncesManager ( new FilesystemCache ); $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;
if ( $ tokenName ) {
$ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
// validate input
} if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
$ nonce = $ manager -> create ();
} <?php if ( $ nonce ) : ?>
<input type="hidden"
name="token_name"
value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
<input type="hidden"
name="token_value"
value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
<input type="submit" name="myform" value="Submit" />
<?php endif ; >Помимо хранения кэша одноразовых номеров, можно выбрать генератор случайных значений одноразовых номеров и интервал истечения срока действия:
<?php
require __DIR__ . ' /../vendor/autoload.php ' ;
use Symfony Component Cache Simple ArrayCache ;
use pedroac nonce NoncesManager ;
use pedroac nonce Random HexRandomizer ;
$ manager = new NoncesManager (
new ArrayCache ( 60 ),
new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
new DateInterval ( ' PT3H ' )
);Также возможно создать nonce с указанным именем:
$ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName ); Источником ввода NonceForm по умолчанию является $_POST, но он принимает любой входной массив:
$ form = new NonceForm (
' token ' ,
new NoncesManager (
new FilesystemCache
),
filter_input_array ( INPUT_GET ) // use $_GET
);Запускаем из корневой папки библиотеки:
php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml
Если тесты прошли успешно, php/tests/coverage-html должен появиться отчет о покрытии кода.
Запускаем из корневой папки библиотеки:
sh scripts/generate-docs.sh
Сгенерированная документация должна находиться внутри папки docs .
Для управления версиями следует использовать SemVer.
pedroac/nonce выпускается под публичной лицензией MIT.
Подробности смотрите в прилагаемой ЛИЦЕНЗИИ.
Библиотека была разработана как ответ на частный запрос пользователя Stackoverflow.
