与第三方服务共享 md5(cookie, some_string) 是否安全？

Question

我需要我的用户使用与我的网站相同的 cookie 对第三方服务进行身份验证。

与服务共享 md5(cookie, service_name) 是否安全，其中 service_name 是所有用户都会使用的常量字符串。

为了对服务进行身份验证，js 函数将在客户端执行 cookie 的 md5 并使用它。

是否有更好、更安全的散列可供使用，或者 md5 是否足够安全？

在执行 md5 之前是否需要对 cookie 进行 Base64 解码？

谢谢

Answer 1

逆转散列以获得原始 cookie 数据的可能性很小，因此在这方面它是安全的。

您可以使用 SHA-1 哈希来代替，但是两者都容易受到冲突攻击，可能允许未经授权的攻击者（没有 cookie）访问第 3 方服务。我不知道这种可能性有多大。

至于base64解码，首先检查它是否是base64编码的。