在 URL 参数中使用带有 A-Za-z0-9 的授权码

Question

作为 Web 应用程序的一部分，我需要一个身份验证代码作为 URL 参数传递。 我目前正在使用（在 Rails 中）： Digest::SHA1.hexdigest((object_id + rand(255)).to_s)

它提供长字符串，例如： http://myapp.com/objects/1?auth_code=833fe7bdc789dff996f5de46075dcb409b4bb4f0

是的太长了，我想我也许可以在 URL 中使用更多的合法字符来“压缩”这个链，比如除了数字之外的整个大写和小写字母。

你有一个代码片段可以做到这一点吗？

Answer 1

your_auth_code = Digest::SHA1.hexdigest((object_id + rand(255)).to_s)

your_shortened_code = your_auth_code.to_i(16).to_s(36)

将您的 auth_code 从基数 16（十六进制）转换为使用 [0-9a-z] 的基数 36
就我个人而言，如果您觉得代码太长，我会将其切成两部分。

Answer 2

由我的一位同事提供：

  CHARS = [*'a'..'z'] + [*'A'..'Z'] + [*0..9]
  def create_token
    self.token = (0..9).map { CHARS[rand(CHARS.size)] }*''
  end

还有一个使用 32+ 范围内的一堆 ascii 字符，但由于非法字符，它不适合您的用例（url），但您可能想用于密码盐等这是 James Buck 提供的：

Array.new(32) { 32 + rand(95) }.pack("C*")

通过这两个片段，您可以根据自己的需要对其进行自定义。

Answer 3

gpaul 的意思是，哈希函数即使被截断，仍然是哈希函数，只是碰撞的可能性更高，尽管只有 10 位，碰撞率仍然相当低。例如，如果您查看 bit.ly，它们的哈希值非常小，但正如您所指出的，它们使用的是 base-32 而不是 base-16，这并不重要。

重要的是你要问如果人们发生碰撞会有什么风险，因为即使使用完整的 SHA1，仍然有机会发生（从加密角度来说是不可能的）。如果确实没有巨大的危险，我认为您可以减少到 5-10 个字符。

但问题仍然在于它为何重要。在您的电子邮件中，您可能发送了一个人们只需点击的链接，正确吗？如果您能告诉我们网址太长的原因，可能会有更好的选择。

Answer 4

这是正确的：我的应用程序有用户单击包含授权码的电子邮件上的链接。
当用户单击链接时，他最终会进入 Web 应用程序，但不会被重定向。授权码将保留在 URL 栏中。
我的每个用户都有一个授权码。如果发生冲突，问题在于无法区分两个用户。

感谢您非常有价值的输入，我能够弄清楚在谷歌中输入什么来获取有关该主题的信息：“base 62”。

所以我找到了base62 gem： http://github.com/jtzemp/base62

现在，我的公式是：

Digest::SHA1.hexdigest((object_id + rand(255)).to_s).to_i(16).base62_encode.slice(0..10)

这给了我一个 auth_code，例如： Fw1eDr701PY

这是一个很好的折衷方案。如果我的应用程序征服了世界，我仍然可以添加数据库查找以避免重复，但现在我会坚持使用它。