生成加密安全令牌

为了生成一个32个字符的令牌来访问我们的API，我们目前使用：

$token = md5(uniqid(mt_rand(), true));

我已经读到，这种方法不是基于密码的安全性，因为它基于系统时钟，这openssl_random_pseudo_bytes将是一个更好的解决方案，因为它很难预测。

如果是这种情况，等效代码将是什么样？

我猜是这样的，但我不知道这是否对...

$token = md5(openssl_random_pseudo_bytes(32));

我应该传递给函数的长度是多少？

这是正确的解决方案：

$token = bin2hex(openssl_random_pseudo_bytes(16));

# or in php7
$token = bin2hex(random_bytes(16));

如果要使用openssl_random_pseudo_bytes，最好使用CrytoLib的实现，这将允许您生成所有字母数字字符，将bin2hex粘贴在openssl_random_pseudo_bytes周围只会导致获得AF（大写）和数字。

用放置cryptolib.php文件的位置替换path / to /（可以在GitHub上找到它：https : //github.com/IcyApril/CryptoLib）

<?php
  require_once('path/to/cryptolib.php');
  $token = IcyApril\CryptoLib::randomString(16);
?>

有关CryptoLib的完整文档，请访问：https：//cryptolib.ju.je/ 。它涵盖了许多其他随机方法，包括级联加密，散列生成和验证。但是如果您需要它，它就在那里。

如果您具有加密安全的随机数生成器，则无需对它的输出进行哈希处理。实际上，您不想这么做。只需使用

$token  = openssl_random_pseudo_bytes($BYTES,true)

但是$ BYTES是您想要的许多字节数据。MD5具有128位哈希，因此可以使用16个字节。

附带说明一下，您在原始代码中调用的功能都不是加密安全的，大多数功能都非常有害，以至于即使与安全的其他功能结合使用，仅使用其中一个功能也将不安全。MD5存在安全性问题（尽管对于此应用程序可能不相关）。默认情况下，Uniqid不仅不生成加密随机字节（因为它使用系统时钟），而且您传递的添加的熵是使用线性同余生成器组合的，线性生成器不安全。实际上，这可能意味着即使他们不知道服务器时钟的价值，也可以猜出所有访问其中的API密钥。最后，用作额外熵的mt_rand（）也不是安全的随机数生成器。

可靠的密码您只能使用ascii字符a-zA-Z和数字0-9进行输入。要做到这一点，最好的方法是仅使用加密安全的方法，例如PHP7中的random_int（）或random_bytes（）。其余函数用作base64_encode（）您只能用作支持函数，以使字符串可靠并将其更改为ASCII字符。

mt_rand（）不安全并且非常旧。在任何字符串中，您都必须使用random_int（）。从二进制字符串开始您应该使用base64_encode（）来使二进制字符串可靠或使用bin2hex，但是随后您将字节仅剪切到16个位置（值）。 请参阅我对此功能的实现。它使用所有语言。