SessionID的java实现作为HttpSession的一部分?
我正在开发一种新型的HttpServer, 我想支持HttpServer类似Java的功能 如何实现这样的功能
我所知道的是,您需要生成一个长会话id唯一字符串,并通过一个cookie发送它,该cookie在可配置的分钟数后过期,并且您需要在每次响应时续订此cookie
但它足够安全吗?为什么没有人可以猜测会话ID字符串并劫持其他人的会话
你可以在下面搜索框中键入要查询的问题!
我正在开发一种新型的HttpServer, 我想支持HttpServer类似Java的功能 如何实现这样的功能
我所知道的是,您需要生成一个长会话id唯一字符串,并通过一个cookie发送它,该cookie在可配置的分钟数后过期,并且您需要在每次响应时续订此cookie
但它足够安全吗?为什么没有人可以猜测会话ID字符串并劫持其他人的会话
# 1 楼答案
如果时间足够长,它将在一段时间内经受住暴力攻击。如果不使用SSL,其他人可以通过网络“嗅探”会话密钥
# 2 楼答案
如果您想开始生成足够好的会话ID,SecureRandom类是一个很好的起点。还有其他一些事情需要注意,尤其是生成的ID的大小。你可以参考文件“Secure Session Management With Cookies for Web Applications”了解更多细节。讨论熵值生成的部分可能是您需要的