对于RESTful后端API,我想生成用于验证用户身份的唯一 URL令牌.
注册时提供的用于生成令牌的唯一数据是电子邮件地址.但是在生成令牌并将其发送给用户之后,我不需要解密收到的令牌以获取电子邮件或其他信息.因此加密可以是单向的.
最初我用bcrypt这样做:
func GenerateToken(email string) string {
hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
if err != nil {
log.Fatal(err)
}
fmt.Println("Hash to store:", string(hash))
return string(hash)
}
但由于令牌作为url参数(如/api/path/to/{token}),我不能使用bcrypt,因为它生成包含/这样的标记:
"$2a$10$NebCQ8BD7xOa82nkzRGA9OEh./zhBOPcuV98vpOKBKK6ZTFuHtqlK"
这将打破路由.
所以我想知道在Golang中根据电子邮件生成一些独特的16-32个字符的字母数字标记的最佳方法是什么?
And*_*vic 12
正如已经提到的那样,您做错了,这是非常不安全的。
func GenerateSecureToken(length int) string {
b := make([]byte, length)
if _, err := rand.Read(b); err != nil {
return ""
}
return hex.EncodeToString(b)
}
支持 OP 主要回答他自己的问题:)
我认为它会满足您正在寻找的一切(32 个字符的长度):
package main
import (
"crypto/md5"
"encoding/hex"
"fmt"
"log"
"golang.org/x/crypto/bcrypt"
)
// GenerateToken returns a unique token based on the provided email string
func GenerateToken(email string) string {
hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
if err != nil {
log.Fatal(err)
}
fmt.Println("Hash to store:", string(hash))
hasher := md5.New()
hasher.Write(hash)
return hex.EncodeToString(hasher.Sum(nil))
}
func main() {
fmt.Println("token:", GenerateToken("bob@webserver.com"))
}
$ 去运行 main.go
哈希存储:$2a$10$B23cv7lDpbY3iVvfZ7GYE.e4691ow8i7l6CQXkmz315fbg4jLzoue
代币:90a514ab93e2c32fdd1072154b26a100
以下是我之前的 2 个建议,我怀疑这些建议对您来说会更好,但可能对其他人有帮助。
过去,我使用 base64 编码使加密/散列后的令牌更具可移植性。这是一个工作示例:
package main
import (
"encoding/base64"
"fmt"
"log"
"golang.org/x/crypto/bcrypt"
)
// GenerateToken returns a unique token based on the provided email string
func GenerateToken(email string) string {
hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
if err != nil {
log.Fatal(err)
}
fmt.Println("Hash to store:", string(hash))
return base64.StdEncoding.EncodeToString(hash)
}
func main() {
fmt.Println("token:", GenerateToken("bob@webserver.com"))
}
$ 去运行 main.go
哈希存储:$2a$10$cbVMU9U665VSqpfwrNZWOeU5cIDOe5iBJ8ZVa2yJCTsnk9MEZHvRq
代币:JDJhJDEwJGNiVk1VOVU2NjVWU3FwZndyTlpXT2VVNWNJRE9lNWlCSjhaVmEyeUpDVHNuazlNRVpIdlJx
如您所见,不幸的是,这并没有为您提供 16-32 个字符的长度。如果您对 80 长的长度感到满意,那么这可能对您有用。
我也试过 url.PathEscape 和 url.QueryEscape 来彻底。虽然它们与 base64 示例存在相同的问题(长度,但有点短),但至少它们“应该”在路径中工作:
// GenerateToken returns a unique token based on the provided email string
func GenerateToken(email string) string {
hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
if err != nil {
log.Fatal(err)
}
fmt.Println("Hash to store:", string(hash))
fmt.Println("url.PathEscape:", url.PathEscape(string(hash)))
fmt.Println("url.QueryEscape:", url.QueryEscape(string(hash)))
return base64.StdEncoding.EncodeToString(hash)
}
url.PathEscape: $2a$10$wx1UL6%2F7RD6sFq7Bzpgcc.ibFSW114Tf6A521wRh9rVy8dp%2Fa82x2 url.QueryEscape: %242a%2410%24wx1UL6%2F7BFS6Rh9rVy8dp%2Fyrx1UL6%2F7Fs6R8Rh9rVy8dp%2Fyrx8Rx8Rh9rVy8dp
请不要这样做,这不安全!使用现有的身份验证库或设计更好的方法.
认证机制可能很难正确实施.
由于这些令牌是用于身份验证的目的,因此您不仅希望它们是唯一的,还需要它们是不可取的.攻击者不应该能够计算用户身份验证令牌.
您当前的实现使用用户电子邮件地址作为bcrypt的秘密输入.bcrypt被设计为安全的密码散列算法,因此运行起来计算成本很高.因此,您可能不希望在每个请求中都这样做.
更重要的是,您的令牌并不安全.如果我知道您的算法,那么我可以通过简单地知道他们的电子邮件地址为任何人生成令牌!
此外,使用此方法,您无法撤消或更改受损标记,因为它是从用户电子邮件地址计算的.这也是一个主要的安全问题.
您可以采取一些不同的方法,具体取决于您是否需要无状态身份验证或撤消令牌.
此外,作为一种良好实践,身份验证/会话令牌不应放在URL中,因为它们更容易意外泄漏(例如缓存,可用于代理服务器,意外存储在浏览器历史记录中等).
如果您没有使用令牌进行身份验证,那么只需在用户的电子邮件地址上使用哈希函数即可.例如,Gravatar计算MD5用户小写电子邮件地址并使用它来唯一标识用户.例如:
func GravatarMD5(email string) string {
h := md5.New()
h.Write([]byte(strings.ToLower(email)))
return hex.EncodeToString(h.Sum(nil))
}
哈希冲突的可能性极小(因此不能保证是唯一的)但显然在现实生活中这不是问题.
| 归档时间: |
|
| 查看次数: |
5012 次 |
| 最近记录: |