为忘记密码生成随机令牌的最佳做法

作者: 雨儿
发布时间: 2025-01-16 11:25:41 (7天前)
转自：

6 条回复

0#
回复此人
一腔诗意 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 每当您需要非常随机的令牌时，这可能会有所帮助 </p> <pre> <code> <?php echo mb_strtoupper(strval(bin2hex(openssl_random_pseudo_bytes(16)))); ?> </code> </pre> </DIV>

编辑
1#
回复此人
清月 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 在PHP中，使用 <a href="https://secure.php.net/random_bytes" rel="noreferrer"> <code> random_bytes() </code> </A> 。原因：您正在寻找获取密码提醒令牌的方法，如果是一次性登录凭据，那么您实际上有一个要保护的数据（即 - 整个用户帐户） </p> <P> 所以，代码如下： </p> <pre> <code> //$length = 78 etc $token = bin2hex(random_bytes($length)); </code> </pre> <HR /> <P> 的<strong> 更新 </强> ： <EM> <a href="https://stackoverflow.com/posts/18910943/revisions#3"> 之前的版本 </A> 这个答案的意思是指 <code> uniqid() </code> 如果存在安全问题而不仅仅是唯一性，这是不正确的。 <code> uniqid() </code> 基本上只是 <code> microtime() </code> 用一些编码。有简单的方法来获得准确的预测 <code> microtime() </code> 在你的服务器上。攻击者可以发出密码重置请求，然后尝试使用几个可能的令牌。如果使用more_entropy，这也是可能的，因为额外的熵同样很弱。谢谢 <a href="https://stackoverflow.com/users/385378/nikic"> @NikiC </A> 和 <a href="https://stackoverflow.com/users/2224584/scott-arciszewski"> @ScottArciszewski </A> 指出这一点。 </EM> </p> <P> 有关详细信息，请参阅 </p> <UL> <LI> <a href="http://phpsecurity.readthedocs.org/en/latest/Insufficient-Entropy-For-Random-Values.html" rel="noreferrer"> http://phpsecurity.readthedocs.org/en/latest/Insufficient-Entropy-For-Random-Values.html </A> </LI> </UL> </DIV>

编辑
2#
回复此人
易米烊光 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您可以使用 </p> <pre> <code> echo str_shuffle('ASGDHFfdgfdre5475433fd'); </code> </pre> </DIV>

编辑
3#
回复此人
无语 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 这回答了“最佳随机”请求： </p> <P> <a href="https://security.stackexchange.com/a/40314/"> 阿迪的回答 </A> <SUP> 1 </SUP> 来自Security.StackExchange有一个解决方案： </p> <BLOCKQUOTE> <P> 确保你拥有OpenSSL支持，并且你永远不会出错这个单线程 </p> <pre> <code> $token = bin2hex(openssl_random_pseudo_bytes(16)); </code> </pre> </BLOCKQUOTE> <P> <子> 1. Adi，2018年11月12日，Celeritas，“为确认电子邮件生成一个不可饶恕的令牌”，2013年9月20日7:06， <a href="https://security.stackexchange.com/a/40314/"> https://security.stackexchange.com/a/40314/ </A> </子> </p> </DIV>

编辑
4#
回复此人
解天 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您还可以使用DEV_RANDOM，其中128 = 1/2生成的令牌长度。下面的代码生成256个令牌。 </p> <pre> <code> $token = bin2hex(mcrypt_create_iv(128, MCRYPT_DEV_RANDOM)); </code> </pre> </DIV>

编辑

登录后才能参与评论