这是正确的解决方案:
$token = bin2hex(openssl_random_pseudo_bytes(16));
# or in php7
$token = bin2hex(random_bytes(16));
如果您想使用 openssl_random_pseudo_bytes 最好使用 CrytoLib 的实现,这将允许您生成所有字母数字字符,在 openssl_random_pseudo_bytes 周围粘贴 bin2hex 只会导致您获得 AF(大写字母)和数字。
将 path/to/ 替换为您放置 cryptolib.php 文件的位置(您可以在 GitHub 上找到它:https ://github.com/IcyApril/CryptoLib )
<?php
require_once('path/to/cryptolib.php');
$token = IcyApril\CryptoLib::randomString(16);
?>
完整的 CryptoLib 文档位于:https ://cryptolib.ju.je/ 。它涵盖了许多其他随机方法,级联加密以及哈希生成和验证;但如果你需要它就在那里。
如果你有一个加密安全的随机数生成器,你不需要散列它的输出。事实上你不想。只需使用
$token = openssl_random_pseudo_bytes($BYTES,true)
但是,其中 $BYTES 是您想要的许多字节数据。MD5 有一个 128 位的散列,所以 16 个字节就可以了。
附带说明一下,您在原始代码中调用的所有函数都不是密码安全的,大多数都足够有害,即使与安全的其他函数结合使用,仅使用一个也会破坏是不安全的。MD5 存在安全问题(尽管对于此应用程序,它们可能不相关)。Uniqid 不仅默认情况下不生成加密随机字节(因为它使用系统时钟),而且您传入的附加熵使用线性全等生成器组合,这在加密上不安全。实际上,这可能意味着即使他们不知道您的服务器时钟的值,也可以猜测您的所有 API 密钥,即使他们可以访问其中的一些。最后,用作额外熵的 mt_rand() 也不是安全的随机数生成器。
另一种选择是使用来自 ircmaxell 的 RandomLib ( https://github.com/ircmaxell/RandomLib )
安装:composer require ircmaxell/random-lib
中等强度示例
$factory = new Factory();
$factory->getMediumStrengthGenerator()->generateString(32);
可靠的密码您只能使用ascii字符a-zA-Z和数字 0-9。要做到这一点,最好的方法是仅使用加密安全的方法,例如PHP7 中的random_int()或random_bytes()。其余函数作为base64_encode()您只能将其用作支持函数以使字符串可靠并将其更改为ASCII字符。
mt_rand()不安全而且很旧。从任何字符串您必须使用 random_int()。从二进制字符串你应该使用base64_encode()来使二进制字符串可靠或 bin2hex,但是你只会将字节切割到 16 个位置(值)。 请参阅我对此功能的实现。它使用所有语言。