PostgreSQL: 在插入时创建访问令牌 (Access Token)

在阅读了Ruby on Rails安全指南和研究其他成功应用的方法之后，我找到了一种更好的生成访问令牌的方式。

旧思路

在询问这个问题之前，我曾经尝试使用Facebook Graph API，并且我知道我想能够像这样发出RESTful请求：

GET /me?access_token=4976517fd7814040b2083864973ff422

通过 access_token，服务器可以返回关于我的信息。

因此，我认为 access_token 必须是唯一的，这样服务器才能执行类似以下操作：

SELECT * FROM users WHERE access_token = '4976517fd7814040b2083864973ff422'

新思维

让我们来看一些来自其他成功API的访问令牌示例。

Facebook: 50601675619|5Lfrygz7QmiNVSgkvryzixIVHuo (应用令牌)
Twitter: 191074378-1GWuHmFyyKQUKWV6sR6EEzSCdLGnhqyZFBqLagHp
Instagram: fb2e77d.47a0479900504cb3ab4a1f626d174d2d
GitHub: e72e16c7e42f292c6912e7710c838347ae178b4a

Facebook和Twitter都明确地在用户的访问令牌前缀中加上了他的ID。Instagram似乎也是这样做的，只是编码了。这样的访问令牌本质上有两个部分：用户ID和会话ID。

嵌入用户ID的访问令牌使服务器能够：

SELECT * FROM users WHERE id = '50601675619'

然后，它可以简单地检查访问令牌的第二部分是否与存储在数据库中该用户的会话ID匹配，类似于验证登录期间的用户名和密码。

最终解决方案

Instagram访问令牌的第二部分似乎是一个没有连字符的小写版本4 UUID。因此，我将按照@a_horse_with_no_name的评论和@ClodoaldoNeto的答案进行操作。除此之外，我将把列access_token重命名为session_id并移除UNIQUE约束。

如上所述，请使用 uuid 类型

create table user_table (
    id             serial primary key,
    access_token   uuid default uuid_generate_v4() not null unique,
    joined         timestamp with time zone not null default current_timestamp
);

然后插入默认值。

insert into user_table default values
returning access_token;
             access_token             
--------------------------------------
 341ab75c-6b4e-4df0-a2ea-5148434fce5a

要使用uuid函数，需要以超级用户身份在目标数据库中安装uuid-ossp扩展。

create extension "uuid-ossp";

您可以使用Ruby中的uuid函数，或者从其他地方获取该函数。
阅读您的评论后，看起来您需要一个会话ID。
可以使用UUID生成器生成会话ID。但请注意，会话ID只是某个会话的ID。每次用户登录时都会更改。会话ID不应存储在用户表中。
通常，会话由应用程序使用一些框架提供的模块处理。该模块将具有其自己的方法来存储会话ID和会话数据。通常，会话ID放在cookie中，而不是URL中。应用程序将向会话管理器传递一个盐，并且它将负责生成会话ID并保持其状态，无论是在cookie、URL、页面中还是其他位置。该模块将根据其配置将会话数据存储在内存、磁盘文件、数据库中。
因此，请不要自己进行会话管理。让框架的解决方案来处理。这样更简单，而且非常重要的是，更安全。