Bonjour,
Je souhaite utiliser des token d'authentification, après diverses recherches j'ai trouvé les token JWT et d'autres méthode de génération de token avec md5.
Hors pour diverse raisons je ne souhaite pas utiliser les token JWT et md5 me semble avoir mauvaise réputation.
De ce fait j'ai trouvé une méthode mais je souhaiterais votre avis :
Génération d'un chaîne d'octets : https://www.php.net/manual/fr/function.random-bytes.php
Puis je converti cela en Hexadécimal.
Enfin je concatène cela avec l'id de mon utilisateur et un salage.
J'envoie cela a mon application (android ou web) puis lors d'une requête a mon service je décode le token reçu, et je vais voir le token contenu a l'id caché dans le token.
Ainsi il est plus difficile de trouver le token par brut force ?
A noter que je souhaiterais par le futur rafraîchir ces token mais pour le moment il faudrait qu'i soit émis pour une durée indéterminée.
Partager