1 $verifyToken = md5('unique_salt' . $_POST['timestamp']);2 if($_POST['token'] == $verifyToken){3      //token 驗(yàn)證正確4 } 

之所以利用時(shí)間戳來(lái)制造token有兩方面優(yōu)勢(shì)，一個(gè)是生成字符串的隨機(jī)性，另一個(gè)是可以根據(jù)該字符串做初步的時(shí)效性驗(yàn)證。

以上只是基礎(chǔ)的思路，但是這種方法的驗(yàn)證會(huì)涉及到一個(gè)問(wèn)題：當(dāng)你的源碼泄露時(shí)，其他人就可以根據(jù)你的唯一標(biāo)識(shí)符unique_salt來(lái)構(gòu)造出token使其通過(guò)驗(yàn)證。

因此，我們可以嘗試采用安全性更為嚴(yán)密的方法來(lái)構(gòu)造token：Session+時(shí)間戳

我們可以在請(qǐng)求的來(lái)源頁(yè)面(A頁(yè)面)隨機(jī)生成一個(gè)字符串RandomStr，并將其保存在session['unique_salt']中，再利用RandomStr與時(shí)間戳結(jié)合生成一個(gè)token。提交數(shù)據(jù)時(shí)，將該token與時(shí)間戳一起提交至服務(wù)器端(B頁(yè)面)，此時(shí)，服務(wù)器將根據(jù)session['unique_salt']+接收的時(shí)間戳來(lái)生成token，并用來(lái)源頁(yè)面提交的token作對(duì)比，如果一致則判定A頁(yè)面的來(lái)源是可靠的。

通過(guò)這種方法，即使你的源碼被泄露，但是由于session['unique_salt']的隨機(jī)性，其他人也無(wú)法構(gòu)造出正確的token來(lái)通過(guò)服務(wù)器驗(yàn)證。