anj*_*jan 11 php encryption cookies single-sign-on node.js
我有一个PHP站点,为了实时更新和聊天,我已经安装了Node.js并且运行正常.
PHP和Node.js都可以访问相同的MySQL数据库.
但问题是要验证已登录PHP站点的用户的身份.
我不想通过任何方式与PHP交谈,无论是否REST.对我来说,这将违背使用Node.js的相同目的,因为每个Node.js请求,都会产生一个新的PHP页面请求.
我想要的是PHP和node.js都能理解的加密和解密方法
这样我就可以设置一个带有Node.js请求加密值的cookie,该请求将在updates.mydomain.com子域中.通过读取cookie,Node.js可以解密其值并验证用户的身份.
所以,我的问题是:是否存在使用相同加密密钥通过PHP和Node.js支持的任何加密和相应的解密方法?
更新
实际上我不期待在客户端解密它:D因为那时整个解密点都没有意义.我想做的是 -
1)PHP生成cookie加密的用户信息,并将该cookie用于特定域,如updates.mydomain.com
2)然后node.js将获取每个后续请求的cookie,并使用相同的加密密钥解密服务器端的数据.
正如你所知,这就是为什么我想知道,如果PHP和node.js之间有一个共同的加密/解密系统,那么一个加密数据可以被另一个解密,反之亦然.
这样我可以安全地将当前登录的用户身份从PHP传输到node.js,我不必担心其他类型的会话管理:)
简而言之,通过PHP加密 - >由Node.js解密 - >获取相同的数据.可能?
谢谢,
Anjan
mik*_*ikl 13
这里最好的方法(imho)是将会话信息存储在数据库中,然后确保Node可以读取PHP应用程序设置的会话cookie.
然后它可以只针对数据库检查会话cookie以确保用户已登录.
如果你真的真的想要使用加密,请注意这可能不那么安全,而且只需要更改PHP会话后端就可以做更多的时间,但这里有一个可能有用的例子:
在PHP中,加密数据:
<?php
$encryption_key = 'somethingverysecretandpreferrablylong';
$vector = 'anotherlongwindedstring';
mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $encryption_key, 'My secret message', MCRYPT_MODE_CBC, $vector);
?>
并在Node.js中解密;
var crypto = require('crypto');
var decipher = crypto.createDecipher('aes-256-cbc','InmbuvP6Z8');
decipher.update(crypted_string_from_cookie,'hex','utf8');
decipher.final('utf8');
请注意这个代码.我绝不是安全专家,所以如果你想加密任何敏感的东西,你应该得到同行的同行评审:)