我正在开发一种新的 HttpServer,我想支持 HttpServer 类似 Java 的功能如何实现这样的功能?
我所知道的是,您需要生成一个长的 session-id 唯一字符串并通过一个在可配置的分钟数后过期的 cookie 发送它,并且您需要在每次响应时更新此 cookie。
但它足够安全吗?为什么没有人可以尝试猜测 session-ids 字符串并尝试劫持其他人的会话?
我正在开发一种新的 HttpServer,我想支持 HttpServer 类似 Java 的功能如何实现这样的功能?
我所知道的是,您需要生成一个长的 session-id 唯一字符串并通过一个在可配置的分钟数后过期的 cookie 发送它,并且您需要在每次响应时更新此 cookie。
但它足够安全吗?为什么没有人可以尝试猜测 session-ids 字符串并尝试劫持其他人的会话?
如果足够长,它会在一段时间内经受住蛮力攻击。如果您不使用 SSL,其他人可能能够通过网络“嗅探”会话密钥。
如果您想开始生成足够好的会话 ID,则 SecureRandom 类是一个很好的起点。还有一些其他的事情需要注意,最值得注意的是生成的 ID 的大小等。您可以参考论文“使用 Cookie 进行 Web 应用程序的安全会话管理”以获取更多详细信息。讨论熵值生成的部分可能是您需要的。