한국어
한국어
PHP에서 crypt () 함수는 암호 해싱 암호의 함수이며 다른 암호화 알고리즘을 기반으로 암호화 된 문자열을 생성합니다. 많은 개발자는 인증 또는 토큰 메커니즘을 구현할 때 Crypt () 기능에 의해 생성 된 해시 값을 직접 사용하는 것을 고려할 수 있습니다. 그렇다면 crypt ()에 의해 생성 된 해시 값을 토큰으로 안전하게 사용할 수 있습니까? 이 기사는 이것을 분석합니다.
crypt () 함수의 기본 사용은 다음과 같습니다.
$hash = crypt($password, $salt);
$ 암호는 암호화 해야하는 문자열 (일반적으로 암호)입니다.
$ 소금은 암호화가 해싱의 독창성과 보안을 증가시키는 데 필요한 "소금"입니다.
통과 된 소금 매개 변수에 따르면 Crypt ()는 DES, MD5, Blowfish ( $ 2A $ 로 시작) 등과 같은 다른 암호화 알고리즘을 선택합니다.
안전한 토큰은 다음 조건을 충족해야합니다.
독창성 : 다른 요청에 의해 생성 된 토큰은 재생 공격을 방지하기 위해 달라야합니다.
예측 가능성 : 공격자는 알려진 토큰을 통해 다른 토큰을 추론 할 수 없습니다.
충분한 길이와 복잡성 : 균열이 무너지기가 어렵습니다.
위조 방지 : 쉽게 위조되거나 변조 할 수 없습니다.
crypt () 의 주요 목적은 일방 통행에 암호를 해싱하는 것입니다. 해싱 결과는 비밀번호 다이제스트를 안전하게 저장하지만 다음과 같은 이유로 토큰을 생성하는 데 완전히 적합하지는 않습니다.
crypt ()는 동일한 입력과 소금을 사용하고 동일한 해시 값을 생성합니다. 비밀번호를 입력으로 직접 사용하고 소금을 변경하지 않으면 토큰이 고정되어 고유하고 변화하는 토큰을 생성하는 데 도움이되지 않습니다.
소금이 잘 설계되지 않은 경우, 토큰이 예측 가능하고 공격자가 추측하거나 재사용 할 수 있습니다.
이로 인해 토큰이 다른 세션이나 요청으로 재사용되어 적시성을 잃게됩니다.
토큰의 보안을 보장하려면 다음 방법이 권장됩니다.
PHP는 random_bytes () 또는 bin2Hex (random_bytes ($ length))를 사용하여 고강도 랜덤 문자열을 생성 할 수 있습니다.
$token = bin2hex(random_bytes(32)); // 64비트 길이의 임의 문자열
hash_hmac ()을 사용하여 임의의 문자열을 암호화하여 토큰의 무결성과 멍청이를 보장합니다.
$secret_key = 'your_secret_key';
$random_string = bin2hex(random_bytes(16));
$token = hash_hmac('sha256', $random_string . time(), $secret_key);
JWT (JSON Web Token)와 같은 표준 라이브러리는 사용자 정보 및 만료 날짜를 포함한 안전한 토큰을 생성하고 서명을 확인할 수 있습니다.
crypt () 함수에 의해 생성 된 해시 값은 주로 암호 저장에 적합하며 직접 토큰으로 사용하기에 적합하지 않습니다.
출력은 무작위성과 적시성이 부족합니다.
토큰을 고정시키고 예측할 수있는 것은 쉽습니다.
소금 값을 관리하는 것은 복잡하고 동적 토큰 생성에 불편합니다.
따라서 안전하고 고유 한 토큰을 생성하기 위해 특수 무작위 번호 기능 및 서명 알고리즘을 사용하는 것이 좋습니다.
