我本来是想随机形成手机验证码,然后提交时写入数据库,然后读出来对比,这样要查表,所以想了另外个方法,就是通过输入的手机来重新组合成一个验证码,这验证码形成是有规律的,注册的会员可以长期有效,此方法不用写表操作,就是不知道安全性怎么样,会不会容易被破解?
我本来是想随机形成手机验证码,然后提交时写入数据库,然后读出来对比,这样要查表,所以想了另外个方法,就是通过输入的手机来重新组合成一个验证码,这验证码形成是有规律的,注册的会员可以长期有效,此方法不用写表操作,就是不知道安全性怎么样,会不会容易被破解?
长期有效显然是有问题的,你要考虑有可能出现泄漏的问题。至于破解的话,找一个设计合理的哈希算法,只要算法中的关键信息不泄漏,倒是不用担心这个问题。
一个变通的方法是让验证码和某个时间点相关,例如: md5(md5(time + phone) + secret),其中time取最近的整点时间,secret是密钥,计算出哈希值取后6位,有效期为2个小时(具体有效期和time的策略可以根据实际需要调整);验证的时候把最近两个整点的时间代进去,如果有一个符合就通过。这样只要secret不泄漏,就既能保证不被破解,又能保证不怕之前的验证码泄漏;而且就算secret泄漏了,换一个就行了:)
(看起来似乎很像某些银行U盾里的动态密钥,不过不知道它们具体是怎么实现的)
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
