php生成带有效期短信验证码的核心是防重放、防篡改、时效控制,采用hash_hmac(‘sha256′, $code.’|’.$minute_ts, $secret)签名,时间戳取分钟级精度,base64编码$code.’|’.$minute_ts.’|’.$hmac,校验时须base64_decode判断、abs时间窗比对、hash_equals防时序攻击。
PHP 生成带有效期的加密短信验证码,核心不是“加密”,而是“防重放+防篡改+时效控制”——直接用 hash_hmac + 时间戳拼接 + Base64 编码即可,无需引入 OpenSSL 或自定义加密算法。
为什么不用 md5() 或 sha1() 直接拼接?
单纯哈希无法防止中间人截获后重放(比如 5 分钟内反复提交同一串验证码)。必须绑定时间戳并校验窗口期。另外,md5() 易被彩虹表破解,且不带密钥,无法验证来源合法性。
- 必须用带密钥的哈希函数,如
hash_hmac('sha256', $data, $secret) - 时间戳要参与签名(如
$timestamp = time()),且只保留分钟级精度(避免秒级漂移导致校验失败) - 最终生成的验证码字符串应包含:原始验证码、时间戳、HMAC 签名,三者缺一不可
如何生成可校验的验证码字符串?
典型结构是:base64_encode($code . '|' . $minute_timestamp . '|' . $hmac)。解码后拆分三段,重新计算 HMAC 并比对,同时检查时间戳是否在有效窗口内(如 ±5 分钟)。
-
$code是纯数字 4–6 位(用random_int(1000, 9999)生成,别用rand()) -
$minute_timestamp = (int)($_SERVER['REQUEST_TIME'] / 60),强制取整到分钟,避免服务端与客户端时钟差几秒就失效 -
$hmac = hash_hmac('sha256', $code . '|' . $minute_timestamp, $_ENV['SMS_SECRET'] ?? 'your_secret_key'),密钥必须存环境变量,禁止硬编码 - 最终返回
base64_encode($code . '|' . $minute_timestamp . '|' . $hmac),长度固定、URL 安全、无特殊字符
校验时最容易忽略的三个坑
很多实现卡在校验环节:看似解码成功,但签名对不上或时间过期,却报错模糊,导致调试困难。
立即学习“PHP免费学习笔记(深入)”;
- Base64 解码失败时,
base64_decode()返回false,必须先判断,否则后续explode('|', false)报 Warning - 时间戳校验要用
abs($now_minute - $stored_minute) ,而不是 <code>$now_minute >= $stored_minute—— 服务端时间可能略快于客户端,单向判断会误拒 - HMAC 比对必须用
hash_equals($expected, $given),不能用===,防止时序攻击
真正难的不是生成,而是让签名、时间、密钥三者严丝合缝地协同工作。哪怕密钥多一个空格、时间戳少除一次 60、校验时没用 hash_equals,都会让整个机制形同虚设。