生成完全唯一的令牌，從未使用過使用php

Question

所以我想要一種方法來生成一個身份驗證令牌傳回給客戶端，以便它可以使用它來傳遞每個請求。

但是，生成以前從未使用的唯一令牌的最佳做法是什麼？

我需要保證唯一性，所以我不能完全將其基於php uniqid（），因爲兩個用戶完全同時登錄的可能性很小（機會很小但不能接受該機會）。

爲他們的用戶名前綴一個uniqid（）值是不好的做法嗎？

此外，uniqid（）的時間戳是基於易受重複值時鐘回退/轉發？

Answer 1

很多歸結爲代碼可以變得多久，你需要它是多麼獨特，需要多大的難以預測，以及如果你有一個有效的代碼列表。

長度

第一關：簡單的數學意味着，如果你必須要能夠產生特有獨特的隨機字符串無限多的，你不能限制表示字符串的長度（這會變得無限......）。

如果必須將使用的值存儲在數據庫中，通常需要一個最大長度。

無論如何，無限長的字符串都會產生很多危險。

有多獨特？

顯然，使用時間並不是非常獨特，但您可以添加事物來減少碰撞的可能性，同時使其更難預測。

如果您有（當前）有效代碼的列表，則可以始終根據現有數據庫驗證生成的代碼，並在發生與當前有效代碼的衝突時重新生成新代碼。

顯然，一個簡單的日益增長的計數器將保證唯一性，但因爲它不是長度有限，這不是很方便，非常可預測等

很難預測

可能被猜到通常驗證碼是可怕的安全理念。所以你需要爲此辯護。

結合這一切

要結合這一切，你可以創建一個字符串的串聯：

• 固定的，而是祕密的字符串（使它長）認爲這是一個密碼，該密碼讓猜你輸入極硬
• 客戶端的IP地址
客戶端
• 蒂姆使用
• 端口號Ë&日期
• 僞隨機數
• 客戶端用來標識自己
• 用戶名
• 串...

你不需要採取一切，訂單等。完全取決於你。多多益善。

一旦你有了這個字符串，你就選擇了一個散列函數，散列輸出的時間越長，碰撞的可能性就越小，但是代碼將在你的數據庫中使用更多的存儲空間。

現在的好選擇是sha-1或sha-256（md5有點太破碎了，不適用於任何新的東西）。

這爲您提供了一個固定長度的代碼，即使您在輸入中更改了一位，幾乎不可能預測攻擊者，並且導致衝突的可能性很小，代碼也會顯着變化。

有多小？這是非常不可能的，看到這裏的數學：https://crypto.stackexchange.com/questions/24732/probability-of-sha256-collisions-for-certain-amount-of-hashed-values

如果您需要完全排除這種可能性，並且不允許無限長的代碼，您只能檢查它使用的代碼，如果它被發現，你可以產生一個新的。

TL; DR

您可以添加其他的東西留出時間，例如連接遠程端的IP地址，僞隨機數，進程ID，你保密的固定字符串等等。 sha-256，而且你的固定長度很難預測代碼。

存在衝突的風險，但如果您給予足夠的輸入以消除衝突，則風險非常小：請檢查使用代碼列表。

Answer 2

我想你已經有一個數據庫存儲這些令牌，以便你可以檢查它是否是正確的。如果是這樣，你可以按你喜歡的方式生成令牌（即uniqid（），隨機字符串，......你喜歡的任何一種），並檢查數據庫中是否已經存在。如果不存在，您可以隨身攜帶，否則您可以生成新的並再次進行檢查。

Answer 3

此方法適用於我......

$token = md5(date['u']); 

用途的秒數從紀元（1970年1月1日），所以幾乎你得到一個獨特的一個時間值的保證。 MD5將其轉換爲32個字符的字符串。 2個相同值的概率仍然不是非常小，但非常接近零。

使用日期w /'u'參數不會是由於DST引起的問題。

Answer 4

您可以使用UUID，通用唯一標識符。規格爲rfc4122。

的摘錄：

其中一個主要的原因，使用UUID是沒有集中 權限需要對其進行管理（儘管格式使用 IEEE 802節點標識，有的則沒有）。因此，按需生成 可以完全自動化，並用於各種各樣的目的。如果需要 ，則此處描述的UUID生成算法支持每臺機器高達1000萬次每秒的高分配率，以便它們甚至可以用作事務ID。

UUID發電機

有各種語言的UUID發電機，只需確保實現使用在RFC-4122規範的算法。它們中的很多會簡單地爲UUID的每個十六進制字節使用一個隨機數，這將導致衝突。