如何在Golang中生成唯一的随机字母数字标记?

时间:2017-07-23 16:02:45

标签: go token

对于RESTful后端API,我想生成用于对用户进行身份验证的唯一网址令牌。

注册时提供的用于生成令牌的唯一数据是电子邮件地址。但是在生成令牌并将其发送给用户之后,我不需要解密收到的令牌以获取电子邮件或其他信息。因此加密可以是单向的。

最初我使用bcrypt这样做:

func GenerateToken(email string) string {
    hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
    if err != nil {
        log.Fatal(err)
    }
    fmt.Println("Hash to store:", string(hash))

    return string(hash)

}

但是由于令牌是作为url参数出现的(例如/api/path/to/{token}),我无法使用bcrypt,因为它会生成包含/的令牌,如下所示:

"$2a$10$NebCQ8BD7xOa82nkzRGA9OEh./zhBOPcuV98vpOKBKK6ZTFuHtqlK"

会打破路由。

所以我想知道在Golang中根据电子邮件生成一些独特的16-32个字符的字母数字标记的最佳方法是什么?

3 个答案:

答案 0 :(得分:5)

TL; DR

请不要这样做,不安全!使用现有的身份验证库或设计更好的方法。

认证机制可能很难正确实施。

由于这些令牌仅用于身份验证,因此您并不希望它们唯一,您还需要它们不可思议。攻击者无法计算用户身份验证令牌。

您当前的实施使用用户电子邮件地址作为bcrypt的秘密输入。 bcrypt被设计为安全的密码散列算法,因此运行起来计算成本很高。因此,您可能不希望在每个请求中都这样做。

更重要的是,您的令牌不安全。如果我知道您的算法,那么我可以通过简单地知道他们的电子邮件地址为任何人生成令牌!

此外,使用此方法,您无法撤消或更改受损的令牌,因为它是从用户的电子邮件地址计算的。这也是一个主要的安全问题。

您可以采取一些不同的方法,具体取决于您是否需要无状态身份验证或撤消令牌。

此外,作为一种良好做法,身份验证/会话令牌不应放在URL中,因为它们更容易意外泄漏(例如,缓存,可用于代理服务器,意外存储在浏览器历史记录等中。)

仅限标识符?

如果您没有使用令牌进行身份验证,那么只需在用户的电子邮件地址上使用哈希函数即可。例如,Gravatar计算用户小写电子邮件地址的MD5,并使用它来唯一标识用户。例如:

func GravatarMD5(email string) string {
    h := md5.New()
    h.Write([]byte(strings.ToLower(email)))
    return hex.EncodeToString(h.Sum(nil))
 }

哈希冲突存在极小的可能性(因此保证是唯一的),但显然在现实生活中,这并不是一个问题。

答案 1 :(得分:2)

选项1:md5散列bcrypt输出

支持OP的主要回答他自己的问题:)

我认为它会满足您所寻找的所有内容(32个字符长度):

package main

import (
    "crypto/md5"
    "encoding/hex"
    "fmt"
    "log"

    "golang.org/x/crypto/bcrypt"
)

// GenerateToken returns a unique token based on the provided email string
func GenerateToken(email string) string {
    hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
    if err != nil {
        log.Fatal(err)
    }
    fmt.Println("Hash to store:", string(hash))

    hasher := md5.New()
    hasher.Write(hash)
    return hex.EncodeToString(hasher.Sum(nil))
}

func main() {
    fmt.Println("token:", GenerateToken("bob@webserver.com"))
}
  

$ go run main.go

     

Hash to store:$ 2a $ 10 $ B23cv7lDpbY3iVvfZ7GYE.e4691ow8i7l6CQXkmz315fbg4jLzoue

     

令牌:90a514ab93e2c32fdd1072154b26a100

以下是我之前提出的2条建议,我怀疑这些建议会对您有所帮助,但可能有助于其他人考虑。

选项2:base64

过去,我使用base64编码在加密/散列后使令牌更具可移植性。这是一个有效的例子:

package main

import (
    "encoding/base64"
    "fmt"
    "log"

    "golang.org/x/crypto/bcrypt"
)

// GenerateToken returns a unique token based on the provided email string
func GenerateToken(email string) string {
    hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
    if err != nil {
        log.Fatal(err)
    }
    fmt.Println("Hash to store:", string(hash))

    return base64.StdEncoding.EncodeToString(hash)
}

func main() {
    fmt.Println("token:", GenerateToken("bob@webserver.com"))
}
  

$ go run main.go

     

哈希存储:$ 2a $ 10 $ cbVMU9U665VSqpfwrNZWOeU5cIDOe5iBJ8ZVa2yJCTsnk9MEZHvRq

     

令牌:JDJhJDEwJGNiVk1VOVU2NjVWU3FwZndyTlpXT2VVNWNJRE9lNWlCSjhaVmEyeUpDVHNuazlNRVpIdlJx

正如您所看到的,遗憾的是不会为您提供16-32个字符的长度。如果您的长度为80长,那么这可能适合您。

选项3:url路径/查询转义

我也尝试过url.PathEscape和url.QueryEscape。虽然它们与base64示例有相同的问题(长度,但有点短),至少它们应该""在路上工作:

// GenerateToken returns a unique token based on the provided email string
func GenerateToken(email string) string {
    hash, err := bcrypt.GenerateFromPassword([]byte(email), bcrypt.DefaultCost)
    if err != nil {
        log.Fatal(err)
    }
    fmt.Println("Hash to store:", string(hash))

    fmt.Println("url.PathEscape:", url.PathEscape(string(hash)))
    fmt.Println("url.QueryEscape:", url.QueryEscape(string(hash)))

    return base64.StdEncoding.EncodeToString(hash)
}
  

url.PathEscape:$ 2a $ 10 $ wx1UL6%2F7RD6sFq7Bzpgcc.ibFSW114Tf6A521wRh9rVy8dp%2Fa82x2   url.QueryEscape:%242a%2410%24wx1UL6%2F7RD6sFq7Bzpgcc.ibFSW114Tf6A521wRh9rVy8dp%2Fa82x2

答案 2 :(得分:0)

如前所述,您做错了,这是非常不安全的。

  1. 使用加密软件包生成安全令牌。此令牌是完全随机的,不与任何电子邮件关联。
func GenerateSecureToken(length int) string {
    b := make([]byte, length)
    if _, err := rand.Read(b); err != nil {
        return ""
    }
    return hex.EncodeToString(b)
}
  1. 创建将该令牌映射到用户标识符并在API请求期间对其进行验证的数据库表。