我正在寻找一种编程方式来生成HMAC-SHA1的消费者密钥/秘密,供客户在OAuth上调用我们的API使用。任何指向现有实现的指针都非常有用。
答案 0 :(得分:1)
从随机数据生成时,秘密是最好的。这样就没有外部数据可以帮助攻击者推断或猜测部分或全部密钥。当然,这取决于您的密钥需要多少保护。 Java包含java.util.Random中的一些随机数生成器(自JDK1.0起)。如果您没有向后兼容性问题,Java 6具有符合FIPS 140-2要求的java.security.SecureRandom。 Java库并不是真正随机的,但对于大多数应用程序来说它可能已经足够好了。如果你需要更好的随机数据,你应该选择基于硬件的随机数据。