我正在开发RESTful API,并考虑使用OAuth进行密码流式身份验证。但是,我决定实现自己的身份验证机制,因为我不想在项目中使用OAuth的开销。
一切运行良好,但目前我没有使用任何形式的身份验证令牌加密。我该怎么用?你能提供一些可以指引我正确方向的文章吗? API将通过HTTPS使用。
修改
我正在使用以下函数生成访问令牌:
public function generateToken($user)
{
return hash_hmac('sha256', Str::random(10), $user->id.time().uniqid(), false);
}
这足够安全吗?
答案 0 :(得分:0)
BCrypt-ruby解释了为什么要使用BCrypt来保存安全密码,并且有一些在授权方案中使用BCrypt的简单示例。
BCrypt支持许多不同的语言,因此可能会有所帮助。如果您正在使用自己的Auth系统,这是一种简单的方法。