Choisir des méthodes de génération de jetons cryptographiquement sécurisées

La pratique actuelle consistant à utiliser md5(uniqid(mt_rand(), true)) pour générer un accès API les jetons présentent des problèmes de sécurité en raison de leur dépendance à l’horloge système et de leur prévisibilité. En tant que solution plus robuste, openssl_random_pseudo_bytes est recommandé pour sa protection renforcée contre les prédictions.

Considérations relatives au code équivalent et à la longueur

Le code équivalent utilisant openssl_random_pseudo_bytes est :

$token = bin2hex(openssl_random_pseudo_bytes(16));

Pour PHP 7 et supérieur, la syntaxe suivante est également disponible :

$token = bin2hex(random_bytes(16));

La longueur optimale de la chaîne aléatoire dépend du niveau de sécurité souhaité et de la sensibilité des données protégées. Dans la plupart des cas, une longueur de 16 octets (128 bits) est considérée comme suffisante. Cependant, pour les applications très sensibles, une longueur plus longue peut être recommandée.