正如@Rook所说,您应该使用HMAC来验证您的令牌。
此外,您需要确保您的令牌不会被盗。例如,如果您将该令牌以明文形式从站点1发送给用户,或者从用户发送到站点2,任何收听的人(想想Firesheep)也可以“证明”他们拥有一个帐户。您可以做的最好的事情就是使用SSL / TLS。
你可以使用 HMAC 在已经拥有共享密钥的两方之间提供经过身份验证的消息。你所描述的与HMAC非常相似,因为它是一种消息认证码。虽然我实际上会使用HMAC函数来执行此操作。
要破解hmac,您必须使用身份验证代码(消息的散列部分)来暴力破解。攻击者知道时间戳,因此他们可以继续猜测秘密。只是让秘密变得非常庞大且非常随机,就像/ dev / random的一些输出是一个不错的选择。