如何在Golang中生成唯一的随机字母数字标记？

概述对于RESTful后端API,我想生成用于验证用户身份的唯一URL令牌. 注册时提供的用于生成令牌的唯一数据是电子邮件地址.但是在生成令牌并将其发送给用户之后,我不需要解密收到的令牌以获取电子邮件或其他信息.因此加密可以是单向的. 最初我用bcrypt这样做： func GenerateToken(email string) string { hash, err := bcrypt.Gen 对于RESTful后端API,我想生成用于验证用户身份的唯一URL令牌.

注册时提供的用于生成令牌的唯一数据是电子邮件地址.但是在生成令牌并将其发送给用户之后,我不需要解密收到的令牌以获取电子邮件或其他信息.因此加密可以是单向的.

最初我用bcrypt这样做：

func Generatetoken(email string) string {    hash,err := bcrypt.GenerateFromPassword([]byte(email),bcrypt.DefaultCost)    if err != nil {        log.Fatal(err)    }    fmt.Println("Hash to store:",string(hash))    return string(hash)}

但是因为令牌是作为url参数出现的(比如/ API / path / to / {token})我不能使用bcrypt,因为它生成包含/喜欢这样的标记：

“$2A $10 $NebCQ8BD7xOa82nkzRGA9OEh./ zhBOPcuV98vpOKBKK6ZTFuHtqlK”

这将打破路由.

所以我想知道在Golang中根据电子邮件生成一些独特的16-32个字符的字母数字标记的最佳方法是什么？

解决方法 TL; DR

请不要这样做,这不安全！使用现有的身份验证库或设计更好的方法.

释

认证机制可能很难正确实施.

由于这些令牌是用于身份验证的目的,因此您不仅希望它们是唯一的,还需要它们是不可取的.攻击者不应该能够计算用户身份验证令牌.

您当前的实现使用用户电子邮件地址作为bcrypt的秘密输入. bcrypt被设计为安全的密码散列算法,因此运行起来计算成本很高.因此,您可能不希望在每个请求中都这样做.

更重要的是,您的令牌并不安全.如果我知道您的算法,那么我可以通过简单地知道他们的电子邮件地址为任何人生成令牌！

此外,使用此方法,您无法撤消或更改受损标记,因为它是从用户电子邮件地址计算的.这也是一个主要的安全问题.

您可以采取一些不同的方法,具体取决于您是否需要无状态身份验证或撤消令牌.

此外,作为良好实践,身份验证/会话令牌不应放在URL中,因为它们更容易意外泄漏(例如,缓存,可用于代理服务器,意外存储在浏览器历史记录中等).

仅限标识符？

如果您没有使用令牌进行身份验证,那么只需在用户的电子邮件地址上使用哈希函数即可.例如,Gravatar计算用户小写电子邮件地址的MD5并使用它来唯一标识用户.例如：

func GravatarMD5(email string) string {    h := md5.New()    h.Write([]byte(strings.Tolower(email)))    return hex.EncodetoString(h.Sum(nil)) }

哈希冲突的可能性极小(因此不能保证是唯一的)但显然在现实生活中这不是问题.

总结

以上是内存溢出为你收集整理的如何在Golang中生成唯一的随机字母数字标记？全部内容，希望文章能够帮你解决如何在Golang中生成唯一的随机字母数字标记？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。