注册
登录
云鉴权
生成从未使用过php的完全唯一令牌
返回
生成从未使用过php的完全唯一令牌
作者:
大黑骡子王
发布时间:
2025-01-03 07:32:30 (2月前)
转自:
<p> <br/> 所以我想要一种方法来生成一个身份验证令牌以传递回客户端,然后它可以使用它来传递每个请求。</p><p>然而,生成具有……的独特令牌的最佳实践是什么?<br/> <br/></p>
收藏
举报
5 条回复
0#
回复此人
نسر الصحراء
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您可以使用UUID,Universally Unique IDentifier。规格是 <a href="https://www.ietf.org/rfc/rfc4122.txt" rel="nofollow noreferrer"> rfc4122 </A> 。 </p> <P> 的<strong> 摘录: </强> </p> <BLOCKQUOTE> <P> 使用UUID的主要原因之一是没有集中化 管理它们需要权限(尽管一种格式使用 IEEE 802节点标识符,其他不标识。结果,生成 按需可以完全自动化,并用于各种 目的。这里描述的UUID生成算法非常支持 如果,每台机器的高分配率高达每秒1000万 必要的,以便它们甚至可以用作交易ID。 </p> </BLOCKQUOTE> <P> 的<strong> UUID发电机 </强> </p> <P> 有各种语言的UUID生成器,只需确保实现使用RFC-4122规范中的算法。其中很多只是为UUID的每个十六进制八位字节使用随机数,这将导致冲突。 </p> </DIV>
编辑
1#
回复此人
故人
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我猜你已经有了一个存储这些令牌的数据库,以便你可以检查它是否是正确的。如果这是真的,你可以按照自己喜欢的方式生成令牌(即uniqid(),随机字符串,......无论你喜欢什么),并检查数据库中是否已存在。它如果不存在你就可以使用它,否则你可以生成一个新的并再次检查。 </p> </DIV>
编辑
2#
回复此人
不丶离
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 很大程度上归结为代码可以变成多长时间,你需要多大程度的独特性,不可预测的难度,以及你是否有一个有效代码列表。 </p> <P> 的<strong> 长度 </强> </p> <P> 首先:简单数学意味着如果你必须能够生成无数个唯一的独特随机字符串,那么你就不能限制所述字符串的长度(它将变为无限......)。 </p> <P> 如果必须将使用的值存储在数据库中,则通常需要最大长度。 </p> <P> 无论如何,无限长度的琴弦会产生很多危险。 </p> <P> 的<strong> 多么独特? </强> </p> <P> 显然,仅仅使用时间并不是非常独特,但是你可以添加一些东西以使碰撞越来越不可能,同时让它更难以预测。 </p> <P> 如果您有(当前)有效代码列表,则始终可以针对现有数据库验证生成的代码,并在与当前有效代码发生冲突时重新生成新代码。 </p> <P> 显然,一个简单的增加计数器将保证唯一性,但它不方便,因为它不是长度有限,非常可预测等。 </p> <P> 的<strong> 很难预测 </强> </p> <P> 通常,可以猜到的认证码是一种可怕的安全性想法。所以你需要防范这一点。 </p> <P> 的<strong> 将它们结合起来 </强> </p> <P> 要将它们全部组合起来,您可以创建一个字符串的串联: </p> <UL> <LI> 一个固定的,但秘密的字符串(使它很长)认为它是一个密码短语,使猜测你的输入非常困难 </LI> <LI> 客户端的IP地址 </LI> <LI> 客户端使用的端口号 </LI> <LI> 时间&amp;日期 </LI> <LI> 伪随机数 </LI> <LI> 客户端用来标识自身的字符串 </LI> <LI> 用户名 </LI> <LI> ... </LI> </UL> <P> 你不需要全部,订单等都取决于你。越多越好。 </p> <P> 一旦你有了这个字符串,你选择一个哈希函数,哈希输出的时间越长,冲突的可能性就越小,但代码将在你的数据库中使用的存储空间越多。 </p> <P> 现在一个不错的选择是sha-1或sha-256(md5有点太破碎而无法用于任何新的东西)。 </p> <P> 这为您提供了一个长度固定的代码,即使您只是在输入中更改一位,也几乎无法预测攻击者,并且几乎不可能导致冲突,因此会发生显着变化。 </p> <P> 多么小?这是极不可能的,请看这里的数学: <a href="https://crypto.stackexchange.com/questions/24732/probability-of-sha256-collisions-for-certain-amount-of-hashed-values"> https://crypto.stackexchange.com/questions/24732/probability-of-sha256-collisions-for-certain-amount-of-hashed-values </A> </p> <P> 如果您需要完全排除这种可能性并且不允许无限长度的代码,您只能根据使用的代码进行检查,如果找到它,您可以生成一个新代码。 </p> <P> 的<strong> TL; DR </强> </p> <P> 您可以添加其他时间,例如连接的远程端的IP地址,伪随机数,进程ID,保密的固定字符串等,将其混合并使用例如哈希值进行哈希处理。 sha-256,你有一个很难预测代码的固定长度。 </p> <P> 存在冲突的风险,但如果你给它足够的输入,它就会非常小,以消除冲突:检查使用中的代码列表。 </p> </DIV>
编辑
3#
回复此人
滔滔江水
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 这个方法对我有用...... </p> <pre> <code> $token = md5(date['u']); </code> </pre> <P> 使用自纪元(1970年1月1日)以来的秒数,因此几乎可以保证您获得唯一的一次性值。 MD5将其转换为32个字符的字符串。 2个相同值的可能性仍然不是很大,但非常接近于零。 </p> <P> 由于DST,使用日期w /'u'参数不会成为问题。 </p> </DIV>
编辑
登录
后才能参与评论
