我正在开发一种新的HttpServer, 我想支持类似HttpServer Java的功能 如何实现这样的功能?
我所知道的是,您需要生成一个长会话ID唯一字符串并通过cookie发送,该cookie在可配置的分钟数后到期,并且您需要在每次响应时更新此cookie。
但是它足够安全吗?为什么没有人可以尝试猜测session-id字符串并试图劫持别人的会话?
答案 0 :(得分:0)
如果时间足够长,它会经受一段时间的蛮力攻击。如果您不使用SSL,其他人也可以通过网络“嗅探”会话密钥。
答案 1 :(得分:0)
如果您想要开始生成足够好的会话ID,SecureRandom类是一个很好的起点。还有一些需要注意的事项,尤其是生成的ID的大小等等。有关其他详细信息,请参阅文章“Secure Session Management With Cookies for Web Applications”。讨论熵值生成的部分可能就是你所需要的。