PHP中在重定向时安全传递数据而不使用查询参数的教程

本文旨在探讨在PHP中进行HTTP重定向时，如何避免将敏感数据（如访问令牌）暴露在URL查询参数中。我们将重点介绍使用PHP会话（$_SESSION）作为主要解决方案，以实现跨请求的数据安全传递。同时，也将提及通过内部代码映射进一步增强数据安全性的方法，并提供相应的代码示例和注意事项，帮助开发者构建更安全的Web应用程序。

PHP重定向中安全传递数据的方法

在web开发中，尤其是在涉及第三方认证或api交互的场景下，我们经常需要在不同的页面之间进行重定向并传递数据。然而，直接将敏感信息（如用户凭证、api访问令牌）作为url查询参数传递，存在严重的安全隐患，因为这些信息可能会被浏览器历史记录、服务器日志或网络嗅探器捕获。本文将详细介绍如何在php中实现重定向时安全地传递数据，避免使用查询参数。

1. 问题场景分析

考虑一个典型的认证流程：

用户访问 index.html。
index.js 检查本地存储，若无令牌则重定向至 auth.php。
auth.php 重定向至外部认证服务（external-api.com/login）。
用户在外部服务登录后，外部服务重定向回 auth.php，并附带一个授权码（auth.php?code=some_code）。
auth.php 使用该授权码向外部API发送POST请求，获取到实际的访问令牌（Access Token）。
auth.php 需要重定向回 index.html，并将此Access Token传递给客户端，但希望避免在URL中显示。

在这个流程中，有多种“令牌”或“代码”：本地存储令牌、外部API返回的授权码、以及最终的Access Token。我们的主要目标是隐藏从外部API获取到的Access Token，因为它通常具有较高的权限和敏感性。

2. 使用PHP会话（$_SESSION）安全传递数据

PHP会话（Session）提供了一种在多个页面请求之间存储用户数据的方法。服务器为每个用户维护一个唯一的会话，并通过Cookie（通常是PHPSESSID）在客户端和服务端之间识别会话。这使得我们可以在服务器端存储敏感数据，而只在URL中传递一个不敏感的会话ID。

2.1 核心原理

当 auth.php 接收到Access Token后，可以将其存储在当前用户的会话中。然后，重定向到 index.html（或一个处理 index.html 的PHP文件）时，无需在URL中携带任何参数。在 index.html 对应的服务器端处理逻辑中，可以从会话中检索出之前存储的Access Token。

立即学习“PHP免费学习笔记（深入）”；

2.2 实现步骤与代码示例

步骤一：在 auth.php 中存储Access Token

在 auth.php 文件中，获取到Access Token后，将其存储到$_SESSION数组中。请确保在任何输出内容之前调用 session_start() 函数。

<?php // auth.php  // 启动会话 session_start();  // ... (此处省略获取授权码并与外部API交互的逻辑) ...  // 假设 $accessToken 是从外部API获取到的实际访问令牌 $accessToken = "your_actual_access_token_from_external_api";   // 将Access Token存储到会话中 $_SESSION['access_token'] = $accessToken;  // 重定向到 index.html，不带任何查询参数 header("Location: index.html"); exit(); // 确保重定向后脚本终止执行 ?>

步骤二：在 index.html 对应的服务器端逻辑中检索Access Token

如果 index.html 是一个静态文件，那么它无法直接访问PHP会话。通常，index.html 会通过JavaScript发起请求来获取数据。更常见且推荐的做法是，将 index.html 作为一个PHP文件（例如 index.php）来处理，或者 index.html 通过AJAX请求一个PHP接口来获取令牌。

示例A：index.php 直接处理

如果你的 index.html 实际上是由PHP生成的（例如 index.php），你可以在其中直接访问会话。

Snyk Code

当下比较流行的代码安全检查工具

查看详情

<?php // index.php  // 启动会话 session_start();  $userAccessToken = null; if (isset($_SESSION['access_token'])) {     $userAccessToken = $_SESSION['access_token'];     // 令牌已获取，可以从会话中清除，防止重复使用或泄露     unset($_SESSION['access_token']);  }  // 现在 $userAccessToken 包含了从 auth.php 传递过来的令牌 // 你可以使用它来初始化JavaScript应用，或者进行其他服务器端操作  // ... (HTML内容开始) ... ?> <!DOCTYPE html> <html lang="zh-CN"> <head>     <meta charset="UTF-8">     <title>主页</title> </head> <body>     <h1>欢迎回来！</h1>     <script>         // 将令牌传递给JavaScript（注意：如果令牌非常敏感，直接输出到JS可能仍有XSS风险）         // 更好的做法是JS通过AJAX请求一个安全的API端点来获取令牌         const accessToken = "<?php echo $userAccessToken; ?>";         if (accessToken) {             console.log("从会话获取到的令牌:", accessToken);             // 这里可以使用accessToken进行后续操作，例如存储到localStorage             localStorage.setItem('app_token', accessToken);         } else {             console.log("未从会话中获取到令牌。");         }     </script> </body> </html>

示例B：index.html 通过AJAX请求获取令牌

如果 index.html 保持为纯静态文件，它可以通过JavaScript向一个专门的PHP接口发起AJAX请求来获取令牌。

index.html (部分JavaScript代码):

// index.js (或 index.html 中的 script 标签) document.addEventListener('DOMContentLoaded', () => {     // 检查localStorage是否有令牌     let token = localStorage.getItem('app_token');     if (!token) {         // 如果localStorage没有，尝试从服务器获取（可能是在auth.php重定向后）         fetch('/get-session-token.php') // 请求一个专门的PHP接口             .then(response => response.json())             .then(data => {                 if (data.token) {                     localStorage.setItem('app_token', data.token);                     console.log('从服务器获取并存储了令牌:', data.token);                     // 进行后续的初始化操作                 } else {                     console.log('服务器未提供令牌。');                     // 可能需要重定向到登录页面                 }             })             .catch(error => console.error('获取令牌失败:', error));     } else {         console.log('从localStorage获取到令牌:', token);         // 进行后续的初始化操作     } });

get-session-token.php:

<?php // get-session-token.php  session_start();  header('Content-Type: application/json');  $response = ['token' => null];  if (isset($_SESSION['access_token'])) {     $response['token'] = $_SESSION['access_token'];     // 令牌一旦发送给客户端，通常可以从会话中清除     unset($_SESSION['access_token']);  }  echo json_encode($response); exit(); ?>

2.3 注意事项

session_start(): 务必在任何输出内容之前调用 session_start()。
会话清除: 一旦令牌被客户端成功获取并存储（例如存储到 localStorage），应立即从$_SESSION中清除该令牌 (unset($_SESSION[‘access_token’]))，以避免在后续请求中无意中泄露或被重用。
安全性: $_SESSION 依赖于会话ID的安全性。确保服务器配置了安全的会话管理，例如使用HTTPS、设置合适的Cookie参数（HttpOnly, Secure, SameSite）以及定期轮换会话ID。
令牌有效期: 令牌通常有有效期，客户端拿到令牌后，应负责管理其生命周期，并在过期时刷新或重新认证。

3. 映射到内部代码

除了直接将会话令牌传递给客户端，还可以考虑更进一步的安全性措施：将外部API返回的Access Token映射到一个内部系统生成的、不敏感的“内部代码”。

3.1 核心原理

在这种方法中，auth.php 接收到Access Token后，不是直接将其存储在会话中或传递给客户端，而是将这个Access Token与一个由你系统生成的、唯一的、不包含任何敏感信息的内部标识符关联起来，并存储在你的数据库中。然后，将会话中存储的或通过URL传递的是这个内部代码。客户端拿到内部代码后，每次需要调用外部API时，都通过你的后端服务，由后端服务使用内部代码去查找真实的Access Token，再代为调用外部API。

3.2 优势

隔离: 客户端永远不会直接接触到外部API的Access Token，即使内部代码被泄露，也无法直接用于调用外部API。
控制: 你的后端服务可以更好地控制Access Token的使用、刷新和吊销。
审计: 可以更容易地审计哪些内部代码对应了哪些Access Token的调用。

3.3 适用场景

这种方法适用于对安全性要求极高，或者需要对外部API调用进行细粒度控制的场景。它增加了系统的复杂性，但提供了更高的安全性。

4. 总结

在PHP中进行HTTP重定向时，为了避免将敏感数据暴露在URL查询参数中，最常用且推荐的方法是利用PHP会话（$_SESSION）。通过将会话令牌存储在服务器端，并在重定向后从会话中检索，可以有效保护数据的安全性。对于极高安全要求的场景，可以考虑将外部API令牌映射为内部代码，从而进一步增强数据隔离和控制。无论采用哪种方法，都应始终遵循最佳实践，确保会话管理和数据处理的安全性。请记住，某些由外部API触发的重定向（如授权码回调）可能无法避免使用查询参数，但这通常是外部API设计的一部分，且授权码本身通常是短寿命的，且需要通过服务器端交换才能获得真正的访问令牌，因此风险相对可控。

以上就是PHP中在重定向时安全传递数据而不使用查询参数的教程的详细内容，更多请关注php javascript java html js json ajax cookie 浏览器 app access php JavaScript ajax html Cookie Session Token 标识符接口 JS 数据库 http https Access