生成加密安全令牌

作者: 文艺青年3
发布时间: 2024-10-12 03:30:57 (21天前)
转自：

4 条回复

0#
回复此人
Jacob | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 可靠的密码您只能来自的<strong> ASCII </强> 人物的<strong> 一个-ZA-Z </强> 和的<strong> 数字0-9 </强> 。要做到这一点，最好的方法是使用加密安全的方法，比如的<strong> random_int（） </强> 要么的<strong> random_bytes（） </强> 来自PHP7。休息功能如下的<strong> BASE64_ENCODE（） </强> 您只能使用支持函数来提高字符串的可靠性并将其更改为的<strong> ASCII </强> 字符。 </p> <P> 的<strong> mt_rand（） </强> 不安全，而且很老。从任何字符串您必须使用random_int（）。从二进制字符串你应该使用 <a href="http://php.net/manual/en/function.base64-encode.php" rel="nofollow noreferrer"> BASE64_ENCODE（） </A> 使二进制字符串可靠或bin2hex，但那么你只会将字节切换到16个位置（值）。 <a href="https://php10.000webhostapp.com" rel="nofollow noreferrer"> 请参阅我对此功能的实现。 </A> 它使用所有语言。 </p> </DIV>

编辑
1#
回复此人
文艺青年 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 如果你想使用openssl_random_pseudo_bytes，最好使用CrytoLib的实现，这将允许你生成所有字母数字字符，在openssl_random_pseudo_bytes周围粘贴bin2hex只会导致你获得A-F（上限）和数字。 </p> <P> 替换路径/到/你把cryptolib.php文件放在哪里（你可以在GitHub上找到它： <a href="https://github.com/IcyApril/CryptoLib"> https://github.com/IcyApril/CryptoLib </A> ） </p> <pre> <code> <?php require_once('path/to/cryptolib.php'); $token = CryptoLib::randomString(16); ?> </code> </pre> <P> 完整的CryptoLib文档可从以下位置获得： <a href="https://cryptolib.ju.je/"> https://cryptolib.ju.je/ </A> 。它涵盖了许多其他随机方法，级联加密和哈希生成和验证;但是如果你需要它就在那里。 </p> </DIV>

编辑
2#
回复此人
Autistic | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 如果您有加密安全随机数生成器，则不需要对其输出进行散列。实际上你不想这样做。只是用 </p> <pre> <code> $token = openssl_random_pseudo_bytes($BYTES,true) </code> </pre> <P> 但是，$ BYTES需要多个字节的数据。 MD5有一个128位散列，所以16个字节就可以了。 </p> <P> 作为旁注，您在原始代码中调用的函数都不是加密安全的，大多数都是有害的，即使与安全的其他函数结合使用，只使用一个函数会破坏不安全。 MD5存在安全问题（尽管对于此应用程序，它们可能不相关）。 Uniqid默认情况下不会生成加密随机字节（因为它使用系统时钟），所传入的附加熵使用线性全等生成器进行组合，该生成器不具有加密安全性。事实上，它可能意味着即使他们不知道您的服务器时钟的价值，也可以猜测所有API密钥的访问权限。最后，mt_rand（），你用作额外熵，也不是一个安全的随机数发生器。 </p> </DIV>

编辑

登录后才能参与评论