创建随机生成的安全令牌并存储在数据库中

Question

我正在尝试为我网站上的每个用户生成一个唯一的令牌。该令牌是在用户注册时生成的，并且最好尽可能安全。让我向用户显示令牌的最佳方法是什么？

该令牌不是密码，用户不会自己创建它。如果我在注册时对它进行哈希和加盐，那么我显然将无法检索它，因为它是经过哈希和加盐的。我想要一种简单的方法通过 PHP 来做到这一点，并且能够轻松地将其显示给用户。

Answer 1

哈希是单向的，因此反转哈希的唯一方法是存储原始值，从而使哈希变得冗余。

如果您只需要显示该值一次，然后将该值存储到变量中，将其打印在页面上，并且不保存它，这对您来说是安全的。

另一种选择是仅使用数据库加密来存储令牌，然后在向用户显示之前解密。假设您使用 MySQL，您可能会发现以下内容有帮助：MySQL 加密

Answer 2

怎么样：

md5(uniqid('', true))

Answer 3

不要贬低zerkms的评论。但我会推荐 crypt()。

非哈希值对用户有什么作用？

Answer 4

用户将如何使用这个令牌？

真正的问题是安全是什么意思。我假设你的意思是“不可猜测”，这只是意味着它必须很长和/或复杂。

然而，如果用户需要记住它，那就是一个问题。

所以真正的问题是你想让它猜出有多难，以及你想让它被回忆起来有多容易？