[加密] 试根据时间戳生成"时效密钥"来防止各种盗链

hightman

网页被大量转载本是一件好事, 但对于 mp3影音文件,下载中心等等如果被广为转载引用, 也就是"盗链", 势必严重加大服务器负担.

网上也曾出现过相当多关于盗链的解决方案, 一般是判断环境变量中的 HTTP_REFERER 来校验; 这种方法对于网页播放器中直

接播放的多媒体文件好像不行, 不会传递 HTTP_REFERER 变量 ...



我想如果能适当的生成一段具有一定的时效性的密钥,可能效果也挺好. 特别是在下载中心之类的程序中,可以将这串"时效密钥"传

递给程序去判断. 下面给出一段代码来生成/校验这种密钥.

完整测试页面:  http://root.twomice.net/3.php

1. 
   
2. <?php
   
3. // hightman.050829: 根据时间戳记生成一定时效的动态密码.
   
4. class chrono_key {
   
5.     var $_radix32;        // 基本要素
   
6.     var $_passwords;    // 密钥列表, array()
   
7.     var $_expiration;    // 时间钥过期时间, 单位秒, 缺省1小时.
   
8. 
   
9.     // 构造函数
   
10.     function chrono_key($expiration = 3600, $passwd = "") {
    
11.         // 基本属性初始化
    
12.         $this->;_radix32 = "0123456789abcdefghijklmnopqrstuv";
    
13.         $this->;_passwords    = array();   
    
14.         if ($expiration >; 0) {
    
15.             $this->;_expiration    = $expiration;
    
16.         }
    
17. 
    
18.         if (!empty($passwd)) {
    
19.             $this->;append_password($passwd);
    
20.         }
    
21.     }
    
22. 
    
23.     // 设定过期时间
    
24.     function set_expiration($sec) {
    
25.         if ($sec >; 0) {
    
26.             $this->;_expiration = $sec;
    
27.         }
    
28.     }
    
29. 
    
30.     // 追加密钥
    
31.     function append_password($str) {
    
32.         if (!empty($str)) {
    
33.             $rkey = $this->;_key($str);
    
34.             if (!in_array($rkey, $this->;_passwords)) {
    
35.                 array_push($this->;_passwords, $rkey);
    
36.             }
    
37.         }
    
38.     }
    
39. 
    
40.     // 检查一个 key 是否过时 expired.
    
41.     function key_check($str) {
    
42.         // 先将字符串层层还源
    
43.         if (!is_array($this->;_passwords) || count($this->;_passwords) == 0) {
    
44.             trigger_error("至少需要设定一个加密密码, 请使用 append_password() 方法设定密码.", E_USER_ERROR);
    
45.         }
    
46. 
    
47.         $r_passwds = array_reverse($this->;_passwords);
    
48.         foreach ($r_passwds as $tmp) {
    
49.             $str = $this->;_str_crypto($str, $tmp);
    
50.         }
    
51.         $str = $this->;_str_decrypt($str);
    
52. 
    
53.         // 转换成时间戳        
    
54.         $chrono = $this->;_str_chrono($str);
    
55. 
    
56.         // 根据 expiration 判断是否超过
    
57.         $cc = time() - $chrono;
    
58. 
    
59.         // return value
    
60.         if ($cc >; 0 && $cc < $this->;_expiration) return true;
    
61.         else return false;
    
62.     }
    
63. 
    
64.     // 根据时间戳生成 key
    
65.     function key_gen($chrono = 0) {
    
66.         // 取得时间
    
67.         $chrono = intval($chrono);
    
68.         if ($chrono <= 0) {
    
69.             $chrono = time();
    
70.         }
    
71.         // 转成字串
    
72.         $str = $this->;_chrono_str($chrono);
    
73. 
    
74.         // 加密
    
75.         $str = $this->;_str_encrypt($str);
    
76.         if (!is_array($this->;_passwords) || count($this->;_passwords) == 0) {
    
77.             trigger_error("至少需要设定一个加密密码, 请使用 append_password() 方法设定密码.", E_USER_ERROR);
    
78.         }
    
79.         
    
80.         foreach ($this->;_passwords as $tmp) {
    
81.             $str = $this->;_str_crypto($str, $tmp);
    
82.         }
    
83. 
    
84.         return $str;
    
85.     }
    
86. 
    
87.     // 将整型时间转化成标准字串
    
88.     function _chrono_str($chrono) {
    
89.         $str = "";
    
90.         do {
    
91.             $idx = ($chrono & 0x1f);
    
92.             $str .= substr($this->;_radix32, $idx, 1);
    
93.             $chrono >;>;= 5;
    
94.         } while ($chrono >; 0);
    
95.         return $str;
    
96.     }
    
97. 
    
98.     function _str_chrono($str) {
    
99.         $chrono = 0;
    
100.         $len = strlen($str);
     
101.         if ($len >; 0) {
     
102.             for ($i = 0; $i < $len; $i++) {
     
103.                 $char = substr($str, $i, 1);
     
104.                 $idx = $this->;_get_radix32_idx($char);
     
105.                 if ($idx < 0) break;
     
106.                 for ($j = $i; $j >; 0; $j--) {
     
107.                     $idx <<= 5;
     
108.                 }
     
109.                 $chrono += $idx;
     
110.             }
     
111.         }
     
112.         return $chrono;
     
113.     }
     
114. 
     
115.     // 加密与解密函数
     
116.     function _str_encrypt($str) {
     
117.         $tmp_key = md5(rand(0, 0xffff));
     
118.         $key_len = strlen($tmp_key);
     
119.         $str_len = strlen($str);
     
120. 
     
121.         $ret = "";
     
122.         for ($i = 0; $i < $str_len; $i++) {
     
123.             $j = $i % $key_len;
     
124.             $p1 = $this->;_get_radix32_idx(substr($str, $i, 1));
     
125.             $p2 = $this->;_get_radix32_idx(substr($tmp_key, $j, 1));
     
126.             $p = $p1 ^ $p2;
     
127.             $ret .= substr($this->;_radix32, $p2, 1);
     
128.             $ret .= substr($this->;_radix32, $p, 1);
     
129.         }
     
130.         return $ret;
     
131.     }
     
132. 
     
133.     function _str_decrypt($str) {
     
134.         $ret = "";
     
135.         $str_len = strlen($str);
     
136.         for ($i = 0; $i < $str_len; $i++) {
     
137.             $md = substr($str, $i++, 1);
     
138.             $ed = substr($str, $i, 1);
     
139.             $p1 = $this->;_get_radix32_idx($md);
     
140.             $p2 = $this->;_get_radix32_idx($ed);
     
141.             $p = $p1 ^ $p2;
     
142.             $ret .= substr($this->;_radix32, $p, 1);
     
143.         }
     
144.         return $ret;
     
145.     }
     
146. 
     
147.     function _str_crypto($str, $key) {
     
148.         $str_len = strlen($str);
     
149.         $key_len = strlen($key);
     
150.         $ret = "";
     
151. 
     
152.         for ($i = 0; $i < $str_len; $i++) {
     
153.             $j = ($str_len - $i) % $key_len;
     
154.             $p1 = $this->;_get_radix32_idx(substr($str, $i, 1));
     
155.             $p2 = $this->;_get_radix32_idx(substr($key, $j, 1));
     
156.             $p = $p1 ^ $p2;
     
157.             $ret .= substr($this->;_radix32, $p, 1);
     
158.         }
     
159.         return $ret;
     
160.     }
     
161. 
     
162.     // 获取一个字符在 radix32 中的序号
     
163.     function _get_radix32_idx($char) {
     
164.         $idx = strpos($this->;_radix32, $char);
     
165.         if (!is_int($idx)) $idx = -1;
     
166.         return $idx;
     
167.     }
     
168. 
     
169.     // 生成标准密钥
     
170.     function _key($str) {
     
171.         return md5($str);
     
172.     }
     
173. }
     
174. 
     
175. 
     
176. // 这部分是实例:
     
177. $ck = new chrono_key();
     
178. 
     
179. // 设定加密密码, 可以多组密码一起加密
     
180. $ck->;append_password("hightman");
     
181. $ck->;append_password("twomice");
     
182. 
     
183. // 设定密码的有效期, 缺省是 3600 秒 即一小时
     
184. $ck->;set_expiration(30);
     
185. 
     
186. 
     
187. // 生成密钥 (可以选择性输入参数时间戳来)
     
188. $newkey = $ck->;key_gen();
     
189. 
     
190. // 检查提交上来的旧密钥是否还有效
     
191. if (isset($_GET['ckey'])) {
     
192.     $str  = "旧密钥: {$_GET['ckey']} 当前状态为 - ";
     
193.     $str .= ($ck->;key_check($_GET['ckey']) ? "有效" : "过期") . "<br>;";
     
194. }
     
195. 
     
196. ?>;
     
197. <title>;时效密钥的生成与检查</title>;
     
198. <h2>;时效密钥, 有效期: (30秒)</h2>;
     
199. <form method=get>;
     
200. <?=$str?>;
     
201. 新密钥: <input type=text name=ckey value="<?=$newkey?>;">;
     
202. (每次刷新页面均生成新的密钥字串)
     
203. <br>;
     
204. <input type=submit value="检查这个密钥">;
     
205. <a href="3.phps">;查看源码</a>;
     
206. </form>;
     

复制代码

hightman

bz, 不是这意思啊.

比如:
我做了一个软件下载链接,但不想被盗链.
下载链接地址用: http://x.y.z/d.php?fname=abc.mp3

这个地址用户肯定有办法获取到, 就可以在别的地方通过URL做链接下载,而我只想让下载者必须在我的页面才能下载这个文件.

这时可以使用我说的办法,加一个时效性的密钥. 也就是说下载地址必须是
http://......................../d.php?fname=abc.mp3&key=23dwsr21 这种形式, 而这个key是只有30分钟有效的, 如果盗链的人把地址拷过去做到他的网页上, 过了30分钟就是错误链接了.

就像以前 k666.com 上的很多下载都是被到处盗链的...

hightman

而且可能存在跨主机/域名做相关链接,这时用session也就不太好办了.

hightman

忍不住再说一下, 无论什么办法"盗链"是没有办法防止的, 因为"盗链"其实也是模拟正常链接来实现的啊!!

我感觉用HTTP_REFERER来判断是效果最好的,但缺点就是在线点播时,不会传递这个变量.

至于上三楼gydoesit的,没明白我的意思.

我写个这段代码也是参考一下,生成一个动态的URL, 这样就算用户抓取网页分析提取URL, 这个URL也是只有一小段时效. 而如果对方非要跟版主说的时时跟你的网页同步显示, 那当然没有办法了.

hightman

gydoesit: 什么网页变来变去. 我的意思就是你得到的 mp3地址就是一个有时效性的地方. 而这个地址在我自己的网页中可以即时生成．你把这个地址拷走做到别的网页里也没用．

hightman

晕,没看清楚文章呀?

都说了是用 http://................/d.php?fname=abc.mp3&key=aeqe2323 的形式来做下载地址了.

要做到文件名里再利用 apache 的 url rewrite ....
48a2bue13ifbbf_abc.mp3 这样的形式, 经过 Rewrite后将文件名作为参数传递给 某个PHP程序处理, 先检验时效再抽取真实文件名, 然后输出这个文件.