1 $verifyToken = md5('unique_salt' . $_POST['timestamp']);
2 if($_POST['token'] == $verifyToken){
3      //token 驗(yàn)證正確
4 } 

之所以利用時(shí)間戳來制造token有兩方面優(yōu)勢(shì)，一個(gè)是生成字符串的隨機(jī)性，另一個(gè)是可以根據(jù)該字符串做初步的時(shí)效性驗(yàn)證。

以上只是基礎(chǔ)的思路，但是這種方法的驗(yàn)證會(huì)涉及到一個(gè)問題：當(dāng)你的源碼泄露時(shí)，其他人就可以根據(jù)你的唯一標(biāo)識(shí)符unique_salt來構(gòu)造出token使其通過驗(yàn)證。

因此，我們可以嘗試采用安全性更為嚴(yán)密的方法來構(gòu)造token：Session+時(shí)間戳

我們可以在請(qǐng)求的來源頁面(A頁面)隨機(jī)生成一個(gè)字符串RandomStr，并將其保存在session['unique_salt']中，再利用RandomStr與時(shí)間戳結(jié)合生成一個(gè)token。提交數(shù)據(jù)時(shí)，將該token與時(shí)間戳一起提交至服務(wù)器端(B頁面)，此時(shí)，服務(wù)器將根據(jù)session['unique_salt']+接收的時(shí)間戳來生成token，并用來源頁面提交的token作對(duì)比，如果一致則判定A頁面的來源是可靠的。

通過這種方法，即使你的源碼被泄露，但是由于session['unique_salt']的隨機(jī)性，其他人也無法構(gòu)造出正確的token來通過服務(wù)器驗(yàn)證。