所以现在有很多不同的服务,Google API、Twitter API、Facebook API 等等。
每个服务都有一个 API 密钥,例如:
AIzaSyClzfrOzB818x55FASHvX4JuGQciR9lv7q
所有密钥的长度和它们包含的字符都不同,我想知道生成 API 密钥的最佳方法是什么?
我不是要求一种特定的语言,只是创建密钥的一般方法,它们应该是对用户应用程序细节的加密,还是散列,或随机字符串的散列等。我们应该担心关于哈希算法(MSD、SHA1、bcrypt)等?
编辑: 我和几个朋友谈过(电子邮件/推特),他们建议只使用去掉破折号的 GUID。
这对我来说似乎有点 hacky,希望能得到更多的想法。
【问题讨论】:
如果您想要一个只有字母数字字符的 API 密钥,您可以使用 base64-random 方法的变体,只使用 base-62 编码。 base-62 编码器基于this。
public static string CreateApiKey()
{
var bytes = new byte[256 / 8];
using (var random = RandomNumberGenerator.Create())
random.GetBytes(bytes);
return ToBase62String(bytes);
}
static string ToBase62String(byte[] toConvert)
{
const string alphabet = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
BigInteger dividend = new BigInteger(toConvert);
var builder = new StringBuilder();
while (dividend != 0) {
dividend = BigInteger.DivRem(dividend, alphabet.Length, out BigInteger remainder);
builder.Insert(0, alphabet[Math.Abs(((int)remainder))]);
}
return builder.ToString();
}
【讨论】:
使用专为密码学设计的随机数生成器。然后base-64编码数字。
这是一个 C# 示例:
var key = new byte[32];
using (var generator = RandomNumberGenerator.Create())
generator.GetBytes(key);
string apiKey = Convert.ToBase64String(key);
【讨论】:
API 密钥需要具备以下属性:
通常您将拥有数千或数百万个 API 密钥,而不是数十亿,因此它们不需要:
因此,生成 API 密钥的一种方法是获取两条信息:
并使用私人秘密对其进行签名。
计数器保证他们唯一标识用户,并且签名防止伪造。可撤销性要求在执行任何需要 API 密钥授权的操作之前检查密钥在数据库中是否仍然有效。
如果您需要从多个数据中心生成密钥,或者没有其他好的分布式方式来分配序列号,那么一个好的 GUID 生成器是递增计数器的一个很好的近似值。
或随机字符串的散列
散列并不能防止伪造。 Signing 保证密钥来自您。
【讨论】:
API 密钥应该是某个随机值。随机到无法预测。它不应包含其所针对的用户或帐户的任何详细信息。如果您确定创建的 ID 是随机的,则使用 UUID 是个好主意。
例如,早期版本的 Windows 生成可预测的 GUID,但这是一个老故事。
【讨论】:
我使用 UUID,格式为小写,不带破折号。
生成很容易,因为大多数语言都内置了它。
API 密钥可能会被泄露,在这种情况下,用户可能希望取消其 API 密钥并生成一个新的,因此您的密钥生成方法必须能够满足这一要求。
【讨论】:
UUID uuid = UUID.randomUUID(); 怎么样?你是说随机还不够好?