我正在开发一个RESTful API,并考虑使用OAuth进行类似密码流的身份验证。但是,我决定实现我自己的身份验证机制,因为我不想在我的项目中使用OAuth的开销。
一切工作正常,但目前我没有使用任何形式的认证令牌加密。我应该用什么?你能提供一些文章给我指点一下方向吗?该API将通过HTTPS使用。
编辑:我使用以下函数来生成一个访问令牌:
public function generateToken($user)
{
return hash_hmac('sha256', Str::random(10), $user->id.time().uniqid(), false);
}
这足够安全吗?
BCrypt-ruby解释了为什么使用BCrypt来保存安全密码,并提供了在授权场景中使用BCrypt的一些简单示例。
BCrypt在一堆不同的语言中得到支持,所以可能会有所帮助。如果您正在滚动您自己的Auth系统,这是一个简单的方法。