Ist es sicher, den Schlüssel als Teil der Datenzeichenfolge einer hash_hmac() PHP-Funktion einzuschließen? ⇐ Php

[Anonymous]

Ich muss ein Authentifizierungstoken generieren, das in eine HTTP-GET-Anfrage aufgenommen werden soll, um einen Remote-Host anzusprechen, für den ich hinsichtlich der Authentifizierung nur eine sehr begrenzte Anzahl von Optionen habe.

Ich möchte, dass der Benutzer auf dieser Seite landet und automatisch authentifiziert wird. Er/sie muss einen ganz bestimmten Vorgang ausführen und nicht die gesamte Website nutzen.

Meine Idee wäre, die PHP-Funktion hash_hmac() folgendermaßen zu verwenden:

Code: Select all

hash_hmac("sha512", $email . $glue . $secret_token . $glue . $_REQUEST["mt"], $secret_token);

Denn ich habe nur sehr wenige Felder, die mein System mit diesem Remote-Host teilt: Es handelt sich um $email und das $secret_token.

Kann es kontraproduktiv oder gefährlich sein, das $secret_token in die Datenzeichenfolge einzufügen?