标签: api security authentication token bcrypt
我正在开展一个小项目,用户通过多页网页表单提交个人税务信息。我们希望能够向每个用户发送一个唯一的混淆URL。拥有此网址的任何人都可以代表用户提交信息。我们只有中等的安全要求(这是一个内部应用程序)。
鉴于formID和userID我想以相当安全的方式生成令牌。我可以在URL中给用户,并检查我的服务器。
formID
userID
我能否以始终生成相同令牌的方式执行此操作? BCrypt建议用随机熵初始化盐。我可以使用常量应用程序密钥来初始化它吗?
是否有另一种更有意义的散列方法?