我目前正处于使用PHP和MYSQL开发网站的迷雾中。这是一个私人网站,因此必须允许使用电子邮件进行注册。简单来说,如果必须注册新用户,管理员必须进入系统并添加要注册的电子邮件地址。
我想要做的是在发生这种情况时创建一个令牌或传递值。
以下是步骤:
我真正想知道的是创建令牌的最佳做法是什么,以及我们如何确保在每次注册电子邮件时创建唯一令牌。
为了进一步提高安全性,我可以确保每个令牌只能使用几个小时。但是这会阻止未经授权的访问系统,或者这对于保护我的网站是一个坏主意吗?
我对创建唯一令牌的想法:使用使用SALT的散列算法,因此无法预测或解密结果(MD5的问题)
任何帮助或朝着正确方向发展都将是非常好的。
答案 0 :(得分:4)
我喜欢这种为PHP生成加密安全伪随机数生成器或(CSPRNG)的方法。那是written by Scott:
<?php
function crypto_rand_secure($min, $max) {
$range = $max - $min;
if ($range < 0) return $min; // not so random...
$log = log($range, 2);
$bytes = (int) ($log / 8) + 1; // length in bytes
$bits = (int) $log + 1; // length in bits
$filter = (int) (1 << $bits) - 1; // set all lower bits to 1
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
$rnd = $rnd & $filter; // discard irrelevant bits
} while ($rnd >= $range);
return $min + $rnd;
}
function getToken($length=32){
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
for($i=0;$i<$length;$i++){
$token .= $codeAlphabet[crypto_rand_secure(0,strlen($codeAlphabet))];
}
return $token;
}
?>
在添加超时方面,我建议在数据库中处理此问题。添加一个名为registration_timeout的列,然后使用mysql的addtime()函数将此colmn设置为当前时间戳+,无论你想要多长时间。
另请注意,临时电子邮件帐户使用起来很简单(http://www.mailinator.com,http://www.guerrillamail.com等等,因此要求某人注册电子邮件帐户并不意味着什么。此外,用户帐户最终可能会以http://www.bugmenot.com结尾。