Я использую hmac sha1 для подписи идентификатора пользователя, который передается сторонней службе. Один и тот же секрет используется для всех пользователей, и соль уникальна для каждого пользователя.
token = userid : timestamp+2hours : hmac(userid : timestamp+2hours, salt+secret)
token_hex = hex(hash)
Будет ли hmac работать с короткими строками? userid:timestamp может быть, например, 12:1304985212 Имеет ли значение порядок соли и секрета? (соль + секрет против секрета + соль) Какова должна быть длина общего секрета и длина соли? Могу ли я использовать один и тот же секрет для подписи сообщений между сервером и удаленной службой или лучше создать отдельный секрет?
Спасибо