我想在我的一些 URL 参数中添加一种简单的 MAC。这仅旨在作为针对应用程序错误和缓存相关问题/错误的额外防线,而不是作为应用程序中实际登录安全性的任何形式的替代。给定的业务对象 ID 已受后端保护,仅限于单个用户。
所以基本上我想在我的 url 参数中添加一个简短的身份验证代码,大小为 2-4 个字符。我想我想要一个可逆函数,类似于 f(business-data-id + logged-on-user-id + ??) = hash,但我愿意接受建议。
主要目的是停止 id 猜测,并确保每个登录用户的 url 相当不同。我也不想要像 MD5 这样又大又笨重的东西。
【问题讨论】:
由于您不是在寻找加密质量,也许 24 位 CRC 可以满足您的需求。虽然 MD5 在绝对意义上是“快”的,但 CRC 相对而言是“快得惊人”。然后可以将 3 字节的 CRC 文本编码为使用 Base-64 编码的四个字符。
这是用于 OpenPGP ASCII-armor 校验和的检查的 Java 实现:
private static byte[] crc(byte[] data)
{
int crc = 0xB704CE;
for (int octets = 0; octets < data.length; ++octets) {
crc ^= (data[octets] & 0xFF) << 16;
for (int i = 0; i < 8; ++i) {
crc <<= 1;
if ((crc & 0x1000000) != 0)
crc ^= 0x1864CFB;
}
}
byte[] b = new byte[3];
for (int shift = 16, idx = 0; shift >= 0; shift -= 8) {
b[idx++] = (byte) (crc >>> shift);
}
return b;
}
我会散列一个密钥(只有服务器知道),以及你想要保护的任何东西——可能是对象标识符和用户标识符的组合。
【讨论】:
如果您想要的基本上是 MD5 但更小,为什么不只使用 MD5 而只使用最后 4 个字符?这不会为您的网址添加一个巨大的 blob,它始终是 4 个漂亮的十六进制数字。
【讨论】:
我确信有一个很好的答案的快速问题,但为什么不将此信息存储在 cookie 中?
然后你可以使用像 MD5 这样大而笨重的东西,你的 URL 仍然很漂亮。
【讨论】: