生成API密钥的最佳方法

因此，现在有许多不同的服务，例如Google API，Twitter API，Facebook API等。

每个服务都有一个API密钥，例如：

AIzaSyClzfrOzB818x55FASHvX4JuGQciR9lv7q

所有密钥的长度和包含的字符都不同，我想知道生成API密钥的最佳方法是什么？

我不是在要求特定的语言，而只是在创建密钥的一般方法，是否应该加密用户应用程序的详细信息，散列或随机字符串的散列等。我们是否应该担心散列算法（MSD，SHA1，bcrypt）等？

编辑： 我已经和几个朋友（电子邮件/推特）进行了交流，他们建议只使用带有破折号的GUID。

不过，这对我来说似乎有点不客气，希望能得到更多的想法。

使用专为密码术设计的随机数生成器。然后base-64对数字进行编码。

这是一个C＃示例：

var key = new byte[32];
using (var generator = RandomNumberGenerator.Create())
    generator.GetBytes(key);
string apiKey = Convert.ToBase64String(key);

API密钥需要具有以下属性：

• 唯一地标识授权的API用户-“ API密钥”的“密钥”部分
• 验证用户身份-无法猜测/伪造
• 如果用户行为不当，可以将其撤消-通常，他们键入可以删除记录的数据库。

通常，您将拥有成千上万个API密钥，而不是数十亿个，因此它们不需要：

• 可靠地存储有关API用户的信息，因为它可以存储在数据库中。

因此，生成API密钥的一种方法是获取两条信息：

1. 序列号以确保唯一性
2. 足够的随机位来填充密钥

并使用私人秘密对其进行签名。

计数器可确保他们唯一地标识用户，并且签名可防止伪造。可撤销性要求在执行任何需要API密钥授权的操作之前，检查密钥在数据库中是否仍然有效。

如果您需要从多个数据中心生成密钥，或者没有一种很好的分布式方式分配序列号，那么好的GUID生成器可以很好地近似于递增计数器。

或随机字符串的哈希

散列并不能防止伪造。 签名可以确保密钥来自您。

我使用的UUID格式为小写，没有破折号。

生成很容易，因为大多数语言都是内置的。

API密钥可能会遭到破坏，在这种情况下，用户可能希望取消其API密钥并生成一个新的API密钥，因此您的密钥生成方法必须能够满足此要求。

如果只需要一个字母数字字符的API密钥，则可以使用base64-random方法的变体，而只能使用base-62编码。base-62编码器基于此。

public static string CreateApiKey()
{
    var bytes = new byte[256 / 8];
    using (var random = RandomNumberGenerator.Create())
        random.GetBytes(bytes);
    return ToBase62String(bytes);
}

static string ToBase62String(byte[] toConvert)
{
    const string alphabet = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
    BigInteger dividend = new BigInteger(toConvert);
    var builder = new StringBuilder();
    while (dividend != 0) {
        dividend = BigInteger.DivRem(dividend, alphabet.Length, out BigInteger remainder);
        builder.Insert(0, alphabet[Math.Abs(((int)remainder))]);
    }
    return builder.ToString();
}

API密钥应为一些随机值。足够随机以至于无法预测。它不应包含其所使用的用户或帐户的任何详细信息。如果您确定创建的ID是随机的，则使用UUID是个好主意。

例如，早期版本的Windows产生了可预测的GUID，但这是一个古老的故事。