以下是正确的解决方案:
$token = bin2hex(openssl_random_pseudo_bytes(16));
# or in php7
$token = bin2hex(random_bytes(16));
bin2hex(random_bytes($length/2)),因为每个字节可以有2个十六进制字符,所以字符数始终是 $length 的两倍,如果不使用此方法则不会达到这个效果。 - A Friendrandom_bytes($length/2)。 - BadHorsie如果您想使用openssl_random_pseudo_bytes函数,最好使用CrytoLib的实现,这将使您能够生成所有字母数字字符,将bin2hex应用于openssl_random_pseudo_bytes函数只会得到A-F(大写)和数字。
将path/to/替换为您放置cryptolib.php文件的位置(您可以在GitHub上找到它: https://github.com/IcyApril/CryptoLib)
<?php
require_once('path/to/cryptolib.php');
$token = IcyApril\CryptoLib::randomString(16);
?>
完整的CryptoLib文档可在以下网址获取:https://cryptolib.ju.je/。它包含许多其他随机方法,级联加密和哈希生成和验证; 但如果需要,它就在那里。
openssl_random_pseudo_bytes(16) 每个字节可以有任何值(0-255),而 randomString(16) 每个字节只能是 a-z A-Z 0-9,即每个字节只有 62 种组合。是的,就字符串长度而言,randomString 更好,因为 bin2hex 是低效的编码方式(50%);最好使用 base64_encode(openssl_random_pseudo_bytes(16)) 来获得更短的字符串和确切的已知字节数的安全性(在这种情况下为 16,但根据需要进行修改)。 - Rodney$token = openssl_random_pseudo_bytes($BYTES,true)
其中$BYTES表示想要处理的字节数。MD5哈希长度为128位,所以只需要16个字节。
顺便说一句,在您原始代码中调用的所有函数都不是密码学安全的,大多数甚至足够有害,即使与其他安全函数组合使用也会存在不安全性。MD5存在安全问题(虽然对于此应用程序可能不相关)。默认情况下,uniqid不能生成密码学随机字节(因为它使用系统时钟),您传递的附加熵使用线性同余生成器进行组合,这不是密码学安全的。实际上,即使他们不知道服务器时钟的值,他们也可能猜测出您所有API密钥的值,只需访问其中几个即可。最后,mt_rand(),即您用作额外熵的功能,也不是安全的随机数生成器。
另一种选择是使用来自 ircmaxell 的 RandomLib(https://github.com/ircmaxell/RandomLib)
安装:composer require ircmaxell/random-lib
中等强度示例
$factory = new Factory();
$factory->getMediumStrengthGenerator()->generateString(32);
可靠的密码只能由ASCII字符a-zA-Z和数字0-9组成。最好的方法是仅使用加密安全的方法,如PHP7中的random_int()或random_bytes()。其余函数如base64_encode()仅用作支持函数,以提高字符串的可靠性并将其更改为ASCII字符。
mt_rand()不安全且非常陈旧。 从任何字符串中,您必须使用random_int()。从二进制字符串中,您应该使用base64_encode()使二进制字符串可靠或bin2hex,但然后您只能将字节剪切到16个位置(值)。 查看我的这些函数的实现。它使用所有语言。
md5()生成32个字符的字符串,但其中只包含128位的数据。openssl_random_pseudo_bytes()返回真正的二进制数据,因此具有32x8 = 256位的随机性。将32字节的随机字符串通过md5()处理,会使其独特性大大降低。 - Marc B$token = bin2hex(openssl_random_pseudo_bytes(16));足够了吗?还是我需要一个循环,进行 16 次迭代,将长度传递为 1 并以十六进制附加到字符串中? - fireRandom::alphanumericString($length),它可以将约20亿倍的“熵”装进这16个字符中。 - caw