如何在不存储数据的情况下生成限时密钥或密码

Question

这是我的场景...

1. 用户客户端应用程序向 Web 服务发出访问请求。

2. Web 服务使用仅在 X 秒/分钟内有效的“密钥”进行响应（时间可以是可变的，或者至少可以在我的 Web 服务中定义）

3. 用户客户端应用程序立即使用密钥来发出进一步的请求。

4. Web 服务检查密钥是否仍然有效，如果它继续请求，否则相应地响应。

我需要在不实际将密钥存储在数据库中的情况下执行此操作，因此我猜测用于生成密钥（带有盐）的哈希应该以某种方式基于时间。

我想我真正要问的是做到这一点的最佳方法是什么。

语言：VB.Net

Answer 1

您无法将密钥存储在某个地方，哈希的本质是您无法获取生成它的信息。如果您想取回信息，请改用加密算法。

Answer 2

我们为此使用了第三方工具。这就是所谓的“密码钥匙”。
非常可配置，但并不便宜。

Answer 3

最后我们选择了以下内容......

应用程序已知的盐
用户的用户名
当前日期/时间 + 5 秒

将以上内容按特定顺序组合为字符串，并对其进行 MD5 哈希处理。

我们有一个特殊的 URL，他们可以使用哈希作为查询字符串参数来访问它。

我们将哈希值与请求时生成的 5 个哈希值进行比较（一个用于当前秒，一个用于前 4 秒）。如果 QS 参数上的哈希值与生成的这 5 个哈希值之一匹配，则我们接受请求并执行相关操作。

我们的 API 上有一个方法，它返回已应用哈希值的 URL。然后，API 客户端可以立即将其请求发送到提供的 URL。检索 URL 后超过 5 秒发出的任何请求都会被拒绝。

所以我们有一个密钥，从生成之日起仅在 5 秒内有效。

这使我们能够为用户提供从 API 客户端“自动登录”其网站的能力。客户端请求登录 URL（带有哈希值），然后立即将用户的 Web 浏览器定向到该 URL。 URL 处理请求，检查哈希值，如果有效，则设置登录 cookie 并将其重定向到其管理页面。

简单、有效，而且由于我们所有的 API 请求都通过 SSL 进行，因此安全。