PHP - Smarty - Http请求拦截器

Question

我已经找到解释如何生成令牌以及如何使用它的链接/答案，如this。

我的网站使用Smarty，并有很多已经存在的表单。我试图找到一种方法在每个请求的头部中发送一个令牌，并捕获所有请求以验证头部。

如：在AngularJS，我可以使用$httpProvider.interceptors和headers['Authorization'] = 'Bearer ' + token;

我想创建这样的

class Interceptor { 
    $token; 

    function __construct(type) { 
     switch (type) { 
      case 'beforeSending': 
       $token = md5(uniqid(rand(), TRUE)); 
       $_SESSION['token'] = $token; 
       $_SERVER['HTTP_authorization'] = 'Bearer ' + $token; 
       break; 
      case 'beforeExecuting': 
       if(hash_equals($_SESSION['token'], $_POST['token'])){ 
        //continue 
       }else{ 
        //error redirect to homePage or logout 
       } 
       break; 
     } 
    } 
} 

这应该存储在会话令牌添加到每头请求。

这也应该检查每个请求是否包含正确的标记。

有没有办法在全球范围内实现这一目标，而不是将输入添加到每个表单并检查每个调用？

Answer 1

好吧，有几种方法，但为了令牌得到适当的审查，更好的解决方案是让它在登录时生成（通过会话），然后存储或通过表单推送它（所以你有或者如果令牌本身并不重要，只是它在那里，请在允许处理脚本继续前检查是否存在令牌。

有几种方法可以做到这一点，但只要您在登录时创建会话令牌并将其存储在服务器上，您需要在处理脚本上执行的操作如下所示：

<?php 
//check to see if session is started 
if (!session_id()) { session_start(); }; 

if (isset($_SESSION['token'])) { 
    //process the rest of the form 
} 
?>