wellcms非法操作提示,由于 wellcms 前后台引入 token 安全机制,这是wellcms的一道安全锁。
每个用户随机分配 token ,每次刷新生成新的 token ,且不重复,且 JS 无法获取,即使拿到也无法解密。操作提交后,只有后端程序可解密,伪造 token 会解密失败,解密 token 成功之后,验证数据有效性,是否过期。
比如,以后的投稿,上传等等,没有 token 无法操作,限制了软件抓包伪造上传,想上传必须有后端生成的 token。
你可以在conf/conf.php中进行设置,开启,默认为关闭,但是后台敏感操作不受开关限制。
// token验证,开启后内容提交和上传都需要token,没有token无法操作。
'upload_token' => 1, // 0关闭 1开启上传验证 token
'message_token' => 0, // 0关闭 1开启发布内容验证 token
'comment_token' => 0, // 0关闭 1开启评论验证 token
'login_only' => 0, // 单点登录 0关闭 1开启
'login_ip' => 0, // 验证IP 0关闭 1开启
'login_ua' => 0, // 验证UA 0关闭 1开启
如果开启了CDN,需要在程序中配置开启CDN 为 1,否则会提示非法操作。
'cdn_on' => 1, // 1使用CDN获取数据 0为关闭,使用CDN必须设置此项为 1
token 很明显的就是做什么都需要令牌,而且该令牌是一次性的,每次刷新都分配新的令牌给你,该令牌不可伪造。
生成 token 的数据保护:用户ID、IP、时间,之后使用key加密。
生成token加密key
第一层:每个用户的登录md5值,每个值都加入了混淆码,因此不可测;
第二层:对取出的md5值再次md5加密;
第三层:新的md5值 + 64位key再次md5加密 ,生成加解密的key;
第四层:使用生成的key 对 token 数据加密,加密后仅限程序自身可解密,除非知道前三层生成key的数据,如果能知道这些数据,说明你的服务器已经被敌人占领。
第五层:用户提交数据给后端,后端拿到 token 后做以下验证。如果提交来的数据没有 token 直接拒绝该操作。
1.token 是否真实;
2.token 是否可以解密成功;
3.token 解密成功之后加密数据是否对应当前数据;
4.token 是否过期;
5.验证通过之后执行操作。