1

我正在开发一种新的 HttpServer,我想支持 HttpServer 类似 Java 的功能如何实现这样的功能?

我所知道的是,您需要生成一个长的 session-id 唯一字符串并通过一个在可配置的分钟数后过期的 cookie 发送它,并且您需要在每次响应时更新此 cookie。

但它足够安全吗?为什么没有人可以尝试猜测 session-ids 字符串并尝试劫持其他人的会话?

4

2 回答 2

0

如果足够长,它会在一段时间内经受住蛮力攻击。如果您不使用 SSL,其他人可能能够通过网络“嗅探”会话密钥。

于 2011-04-07T12:07:16.903 回答
0

如果您想开始生成足够好的会话 ID,则 SecureRandom 类是一个很好的起点。还有一些其他的事情需要注意,最值得注意的是生成的 ID 的大小等。您可以参考论文“使用 Cookie 进行 Web 应用程序的安全会话管理”以获取更多详细信息。讨论熵值生成的部分可能是您需要的。

于 2011-04-07T12:21:18.607 回答