Sto implementando un server di autorizzazione OAuth 2.0. Come parte del processo di registrazione del client, voglio generare l'identificatore univoco del client per questo client.
Il metodo che ho scelto è quello di prendere tutte le informazioni di registrazione del client e cancellarlo usando SHA-512. Le informazioni del cliente includono:
- password del client (mascherata usando bcrypt)
- tipo di client
- nome cliente
- sito web cliente uri
- nome dell'applicazione
- url per l'immagine del logo
- descrizione del cliente
- reindirizza uri
- flag di accettazione termini e condizioni legali
- flag active registration
- crea timestamp // quando il cliente si è registrato
- aggiorna timestamp
- timestamp disattivato
La mia domanda è se sia sicuro includere la password crittografata quando si produce il digest SHA e se questo è un modo sicuro per produrre un identificatore univoco del client.