1 $verifyToken = md5('unique_salt' . $_POST['timestamp']);
2 if($_POST['token'] == $verifyToken){
3      //token 驗證正確
4 } 

之所以利用時間戳來制造token有兩方面優(yōu)勢，一個是生成字符串的隨機性，另一個是可以根據該字符串做初步的時效性驗證。

以上只是基礎的思路，但是這種方法的驗證會涉及到一個問題：當你的源碼泄露時，其他人就可以根據你的唯一標識符unique_salt來構造出token使其通過驗證。

因此，我們可以嘗試采用安全性更為嚴密的方法來構造token：Session+時間戳

我們可以在請求的來源頁面(A頁面)隨機生成一個字符串RandomStr，并將其保存在session['unique_salt']中，再利用RandomStr與時間戳結合生成一個token。提交數據時，將該token與時間戳一起提交至服務器端(B頁面)，此時，服務器將根據session['unique_salt']+接收的時間戳來生成token，并用來源頁面提交的token作對比，如果一致則判定A頁面的來源是可靠的。

通過這種方法，即使你的源碼被泄露，但是由于session['unique_salt']的隨機性，其他人也無法構造出正確的token來通過服務器驗證。