2. 程式人生 > >xsrftoken--源碼筆記

xsrftoken--源碼筆記

阿新 發佈:2017-08-30
轉化 ken expired lencod like and pan [] 並且 


// Package xsrftoken provides methods for generating and validating secure XSRF tokens.
package xsrftoken // import "golang.org/x/net/xsrftoken"

import (
    "crypto/hmac"
    "crypto/sha1"
    "crypto/subtle"
    "encoding/base64"
    "fmt"
    "strconv"
    "strings"
    "time"
)

// 設置xsrf存活周期
// 也許會設置和cookie生命周期一樣
const Timeout 
 
= 24 * time.Hour

// 清理字符串中:替換為_ 。替換所有
func clean(s string) string {
    return strings.Replace(s, ":", "_", -1)
}

// Generate returns a URL-safe secure XSRF token that expires in 24 hours.
//返回一個安全且加密的url  默認存活周期為24小時
// key  是應用程序的密鑰.
// userID  唯一標識符.
// actionID 用戶實際的動作(例如 :  訪問的資源的地址).
func Generate(key, userID, actionID 
 
string) string {
    return generateTokenAtTime(key, userID, actionID, time.Now())
}

// generateTokenAtTime is like Generate, but returns a token that expires 24 hours from now.
func generateTokenAtTime(key, userID, actionID string, now time.Time) string {
    // now轉化為毫秒
    milliTime := (now.UnixNano() + 1e6
 
 - 1) / 1e6

    h := hmac.New(sha1.New, []byte(key))  //使用hmac進行加密
    fmt.Fprintf(h, "%s:%s:%d", clean(userID), clean(actionID), milliTime)

    // Get the padded base64 string then removing the padding.
    tok := string(h.Sum(nil))
    tok = base64.URLEncoding.EncodeToString([]byte(tok))
    tok = strings.TrimRight(tok, "=")

    return fmt.Sprintf("%s:%d", tok, milliTime)
}

// Valid reports whether a token is a valid, unexpired token returned by Generate.
//驗證 token 對應的key  userid  actionID  是否正確  並且在存活周期中
func Valid(token, key, userID, actionID string) bool {
    return validTokenAtTime(token, key, userID, actionID, time.Now())
}

// validTokenAtTime reports whether a token is valid at the given time.
func validTokenAtTime(token, key, userID, actionID string, now time.Time) bool {
    // Extract the issue time of the token.
    sep := strings.LastIndex(token, ":")
    if sep < 0 {
        return false
    }
    millis, err := strconv.ParseInt(token[sep+1:], 10, 64)
    if err != nil {
        return false
    }
    issueTime := time.Unix(0, millis*1e6)

    // Check that the token is not expired.
    if now.Sub(issueTime) >= Timeout {
        return false
    }

    // Check that the token is not from the future.
    // Allow 1 minute grace period in case the token is being verified on a
    // machine whose clock is behind the machine that issued the token.
    if issueTime.After(now.Add(1 * time.Minute)) {
        return false
    }

    expected := generateTokenAtTime(key, userID, actionID, issueTime)

    // Check that the token matches the expected value.
    // Use constant time comparison to avoid timing attacks.
    return subtle.ConstantTimeCompare([]byte(token), []byte(expected)) == 1
}

xsrftoken--源碼筆記

相關推薦

xsrftoken--筆記

轉化 ken expired lencod like and pan [] 並且 // Package xsrftoken provides methods for generating and validating secure XSRF tokens.package x

javascript 跟Aaron大神學習jquery筆記

代碼 問題 個數 lec 構造 構造函數 進行 llb eof /* 通過new操作符構建一個對象,一般經過四步: A.創建一個新對象 B.將構造函數的作用域賦給新對象(所以this就指向了這個新對象)

Spring ApplicationContext 容器實例化筆記之refresh03

end over lis 語言 factory rar messages intern attribute 前面兩篇文章寫到了refresh方法的 ConfigurableListableBeanFactory beanFactory = obtainFreshBeanFa

Spring ApplicationContext 容器實例化筆記之refresh04

pan blog con 實例化 class all code sin factor 接下來是 // Allows post-processing of the bean factory in context subclasses. postProcessBeanFact

Java筆記(1) java.lang.Object 之 native分析

ons 一個 head pri demo def shared 筆記 log 包路徑:java.lang.*: java.lang.Object:   一、Object類是java類樹的根,所有類的超類。   二、方法及成員:    private static nat

redis筆記-內存管理zmalloc.c

函數 源碼 thread fun etc do while ref sage reside redis的內存分配主要就是對malloc和free進行了一層簡單的封裝。具體的實現在zmalloc.h和zmalloc.c中。本文將對redis的內存管理相關幾個比較重要的函數做逐

C# 讀Autofac筆記(2)

-h 技術分享 list nal prop eight 們的 with contain 剛看了下Autofac屬性註入的源碼 首先看看WithProperty方法 image.png Autofac將我們的屬性值,存在了一個list集合中

C# 讀Autofac筆記(1)

.net for -s 類型 分享圖片 最快 logs .cn ima 最近在看Autofac的源碼。 Autofac據說是.net中最快的IOC框架,具體沒有實驗,於是看看Autofac具體是怎樣實例化實體。 image.png 如上圖所示

火車訂票系統筆記c++

scanf sea reac read 函數表 tdi 函數 單變量 指向 /* 系統名稱:火車訂票系統 1、插入一個火車信息 2、搜索火車信息 3、預定火車信息 4、修改火車信息 5、顯示火車信息 6、保存火車信息 結構組成 1、火車信息結構體 2、訂票人信息結構體 3

laravel5.5筆記(二、服務提供者provider)

字符串 bst 啟動 osi bee bootp 系統初始 bootstra min laravel裏所謂的provider服務提供者,其實是對某一類功能進行整合,與做一些使用前的初始化引導工作。laravel裏的服務提供者也分為,系統核心服務提供者、與一般系統服務提供者。

jdk閱讀筆記之java集合框架(四)(LinkedList)

ray private array public 源碼閱讀 jdk源碼閱讀 oid color 解釋 關於LinkedList的分析,會從且僅從其添加(add)方法入手。 因為上一篇已經分析過ArrayList,相似的地方就不再敘述,關註點在LinkedList的特點。 屬

vue中$watch閱讀筆記

vue 告訴 應該 最好 notify type 十分 msg 建立 項目中使用了vue,一直在比較computed和$watch的使用場景,今天周末抽時間看了下vue中$watch的源碼部分,也查閱了一些別人的文章,暫時把自己的筆記記錄於此,供以後查閱: 實現一個簡單的

Magenta筆記(3) —— 內存管理【轉】

sys priority them 根據 內存信息 add trie ldm csdn 轉自:http://blog.csdn.net/boymax2/article/details/52550197 版權聲明:本文為博主原創文章,未經博主允許不得轉載。 Mag

筆記6 壓縮工具、安裝軟件包(rpm、yum、包)、shell。

yum、shell壓縮打包常見的壓縮文件windows:rar、zip、7zLinux:.zip、.gz、.bz2、.xz、.tar、.gz、.tar.bz2、.tar.xzgzip壓縮工具它壓縮後邊直接跟文件名就可以命令:gzip -d 解壓的意思命令gzip -數字 表示它的壓縮級別,1——9,數字越大

QuartZ .Net 學習筆記一: 下載與查看

net href cnblogs 方法 category solution ges 博客 存在 最近因為工作需要研究一下QuartZ .net , 之前也用過不過但沒有深入了解, 現想深入研究一下 網上相關QuartZ .net 的文章不少, 但大部分都是源於張善友的博

nsq閱讀筆記之nsqd(一)——nsqd的配置解析和初始化

con views pos 直接 rgba 函數調用 程序 spa 重命名 配置解析nsqd的主函數位於apps/nsqd.go中的main函數首先main函數調用nsqFlagset和Parse進行命令行參數集初始化, 然後判斷version參數是否存在,若存在,則打印版

nsq閱讀筆記之nsqd(三)——diskQueue

hit emp files tro interact 一次 導致 store text diskQueue是backendQueue接口的一個實現。backendQueue的作用是在實現在內存go channel緩沖區滿的情況下對消息的處理的對象。 除了diskQueue外

uunderscore閱讀筆記

value 沒有 cor count return con div on() collect var optimizeCb = function(func, context, argCount) {   if (context === void 0) {     retu

jQuery學習筆記(1)

ase tolower nodetype apt jquer 元素 bre 技術分享 停止 在慕課網上學習jQuery源碼,做一些筆記小研究。 第1章 節點遍歷 第2章 文檔處理 第3章 元素操作 第4章 樣式操作 第5章 事件體系 第6章 數據交互 第7章

jQuery學習筆記(2)

dom src asc turn rdo dom節點 defer ++ des 我們會認識到jQuery中一個叫做domManip的函數,這個函數的作用主要是處理DOM相關的操作,讓傳入的參數更加“幹凈”。 為什麽需要用這個domManip函數呢? 我們知道節點操作瀏覽