セッションＩＤを乱数化(base64_encode)する際の疑問点

お世話になっております。

セッションＩＤを乱数化する際に、base64_encode と openssl_random_pseudo_bytesを使用していますが、
ネットに掲載の記事で「$token = rtrim(base64_encode(secure_random_bytes(32)),'=');」
というのを見つけました。

なぜ末尾から＝（イコール）を削除しているのか調べても該当するような記事がありませんでした。
どなたかお解かりの方いらっしゃいましたらお願いします。

行動規範の内容に同意します

回答1件

ベストアンサー

BASE64は3バイトずつを4文字で表現します。変換対象のバイト列が3の倍数のバイト数ではない場合、余りが発生し、最後が1バイトまたは2バイトになってしまいます。その場合、"XX=="(1バイトの場合)または"XXX="(2バイトの場合)と後ろに"="を足して4文字になるように処理します。

書いてあるコードでは、32バイトのバイト列を生成して、それをBASE64にしています。しかし、上記の通り、3の倍数ではないため、最後が2バイトです。よって、文字列には必ず"="が最後に付くことになります。この最後の"="はどんな乱数の場合でも付くため、セッション情報としては全く役に立ちません。そのため、最後の"="を無駄なので削除するという処理を追加していると言うことです。

投稿2016/11/13 14:42