-2

我不想生成令牌来验证用户的电子邮件,我了解了通用hashing(从一系列哈希函数中随机选择一个哈希函数)并且我在PHP

它是生成令牌的安全方法吗?

$string ='';
$length = 60;
$pattern = 'abcdefghijklmnpqrstuvwxyABCDEFGHIJKLMNPQRSTUVWXY0123456789';
$hashList = array('sha256','sha384','sha512','ripemd256','ripemd320','openssl_random_pseudo_bytes');
$randNumber = mt_rand(0, 6);

for($i=0; $i<$length; $i++)
{
    $string .= $pattern[rand()%strlen($pattern)];
}

switch ($randNumber) {

    case 0:
    return substr(hash($hashList[$randNumber],$string),0,$length);    
    break;

    case 1:
    return substr(hash($hashList[$randNumber],$string),0,$length);
    break;

    case 2:
    return substr(hash($hashList[$randNumber],$string),0,$length);
    break;

    case 3:
    return substr(hash($hashList[$randNumber],$string),0,$length);
    break;

    case 4:
    return substr(hash($hashList[$randNumber],$string),0,$length);
    break;

    case 5:
    return substr(bin2hex($hashList[$randNumber]($length)),0,$length);
    break;

    default:
    return $string;
    break;

}
4

1 回答 1

0

对我来说这似乎有点复杂,验证用户电子邮件可能不是最重要的保护,通过该功能生成哈希。不太可能猜测哈希值。

我只会选择一个散列函数,不要只从用户名、电子邮件值创建散列值,在字符串中添加一些盐或随机的东西。下一个选项是控制已处理多少无效验证,并在一段时间内阻止用户验证。

于 2017-11-05T09:44:52.647 回答