问题标签 [sessionid]

我见过有人使用 UUID 来生成身份验证令牌。然而，在RFC 4122中指出

不要假设 UUID 很难猜；例如，它们不应该用作安全功能（仅拥有授予访问权限的标识符）。

我想知道，例如在 Java 和 .NET 中使用哪些算法来生成 SessionId/AuthenticationToken。在具有超过平均安全需求的应用程序中，UUID 是否确实不适合这些目的？

这就是我想要完成的，我只是想知道实现它的最佳方法是什么。

我有一个标准的电子商务网站。当客户浏览网站时，他的购物车内容存储在会话变量中。除非客户结帐，否则购物车不会存储在数据库中。

现在，有时客户在实际下订单之前会致电呼叫中心。然后他询问有关他的购物车的问题 - 我希望另一方的代理能够提取购物车内容。

我正在考虑在客户端加密会话 ID，然后在购物车页面上显示“购物车 ID”，以便客户通过电话向代理提供。然后我将解密会话 ID，代理将能够直接在 cart.php 页面中访问购物车内容。

我的问题是：

1. 这安全吗？一路上我没有在会话中存储客户的个人信息。只有购物车内容。
2. 我最好的加密方法是什么？
3. 有没有更简单的方法来实现这一点？

所以我对aspx文件有一个条件：

这是我在页面加载时的代码

我得到错误：

我想知道我做错了什么......

我正在使用 Node.js 服务器，并且正在使用 Connect 框架进行开发。我试图在给定的时间间隔后重新生成 SID 以避免会话固定。有一个名为req.session.regenerate的方法，根据文档，它应该做到这一点。

« 要重新生成会话只需调用该方法，一旦完成一个新的 SID 和会话实例将在 req.session 初始化 »

示例代码：

调用上述方法后，查看req.sessionID的值，发现和之前的值一样。

如果我尝试从 req.session.regenerate 中获取 sessionID 并将其写入终端，我会得到一个新的 SID，这更令人困惑~ IE 为什么要只在回调范围内生成 SID？如果我将值分配给全局变量，它的值是未定义的。

我有一种感觉，我忽略了一些非常明显的事情。

任何帮助表示赞赏。

我需要在 MVC 3 网站上实现一个简单的安全区域。我不能使用 cookie，也不能在 URL 中传递会话 ID。ASP.NET 中还有其他实现的选项吗？

PS我知道在其他环境中是可能的。

亚瑟

我有一个从浏览器到在 CLI 上作为 websocket 服务器运行的 php 脚本的 websocket 连接。

我让客户端发送它在服务器上的 session_id，我知道哪个用户有哪个会话。

读取单个用户的 $_SESSION 非常有效。

我做（在服务器端[我的 CLI 代码]）：

然后，当我在 CLI 服务器端操作 $_SESSION['values'] 时，它不会反映在客户端会话上，并且不会操作会话。我如何才能将操纵的会话发送回客户端？

谢谢！

我正在使用uploadify上传我的文件，我想保存文件，我想在数据库中保存路径，所以我在会话中和用户提交表单后保存路径。它可以在 Internet Explorer 上运行，但在 Firefox 上由于会话 ID 的更改而无法运行。

如何解决这个问题呢？

我正在把头发拉到这个上面。我尝试制作一个简单的脚本来存储会话，这样当用户关闭浏览器时，他们可以稍后再回来，他们的购物篮仍然完好无损。这一切似乎都很顺利，直到我注意到在某些物品上，篮子中的物品与以前的物品相同。经过一些检查后，我注意到这些奇怪页面上的会话 ID 不同！这是我的代码，位于我的框架顶部。

非常感谢您对此事的任何帮助。

** 编辑 **

我试图让它更简单但仍然是同样的问题

我遇到了一个问题，即我的网站上的登录在 IE8 中无法始终如一地工作。它在 Firefox/Chrome/Safari 中运行良好，但在 IE8 中运行良好。

首次登录时一切正常。注销并尝试重新登录后，它通常会失败一段时间。它将最终在身份验证后重定向到登录页面。

所以身份验证成功，它返回 true，但似乎 IE8 不接受我们通过返回设置的会话 id 的新值：

Set-Cookie SESSIONID=........; 路径=/

在响应头中。但显然，这适用于清晰的缓存，我可以正常工作。但是在它已经存在之后它无法重置，因此在验证并尝试转到新页面后，它会看到这是从浏览器发送的旧会话 ID 并重定向到登录页面。

我在这里或其他地方没有找到任何真正解决这个问题的东西（除了清除缓存）。大多数对 IE8 cookie 问题的引用都是特定于语言/框架的，并且不回答这个问题。

我可能需要对 set-cookie 做一些特别的事情来完成这项工作吗？

更新：

我已将 IE8 设置为在接受任何 cookie 之前进行提示。当登录正常时，​​它会按预期提示。当它不起作用时，甚至没有提示除了 cookie..

更新 2：

我应该提到 cookie 应该在 ajax 调用之后设置：

$.get(authenticate_url, ....)

它请求响应的 url 返回设置会话 id 的标头，然后在回调函数中，用户被重定向到主页 - 假设登录成功。

我正在尝试实现一种与会话持续的收藏夹列表。目前我的会话存储在数据库中，收藏夹存储在一个单独的表中，其中包含用户的 session_id。我的问题是：

这些会话 id 值有多可靠？尽管这些收藏夹中没有敏感数据，但其他人是否可以传递一些其他会话 id 值并篡改其他用户的收藏夹？（我猜他们可以，但除了他们传递另一个已知的会话 id 之外，怎么能猜到？）

会话 ID 会一直存在吗？在我的库中，我一直在引用会话 ID——假设每个用户都有一个会话 ID 是否安全？（PHP/CI 会自动创建一个没有通过的吗？）

提前致谢！