如何安全地存储会话ID

时间:2017-07-08 05:42:43

标签: cryptography sessionid

我是一名学习密码学的学生。在线搜索后,我仍无法找到问题的答案。我想知道如何安全地存储电子商务网站的会话ID。如果有可能,怎么样?请在Layman的术语中解释一下。期待您的有用答案。

干杯

1 个答案:

答案 0 :(得分:1)

会话ID通常只是在客户端和服务器之间传递的随机(不透明)标识符。服务器使用标识符来查找数据库中的状态信息(例如当前购物车内容)。

实际上,您必须相信客户端会保护会话ID,因为一旦您将其发送给它们,它就会变成静态令牌 - 没有多少加密可以解决任何人都可以提出会话的事实id然后假装是用户。

您可以采取一些措施来缓解问题:

  1. 确保您使用"足够安全"随机生成器来构建 令牌

  2. 确保令牌的传输尽可能安全,防止窃听或客户端盗窃(例如使用SSL,httponly和安全cookie标记)

  3. 为令牌提供合理的超时,并要求用户定期请求新令牌,例如:刷新令牌或重新登录。

  4. 很多人已经考虑过如何实际工作 - 看一下OAuth2 / OpenID Connect协议。