Best practices für die SessionId/Authentifizierung Token-generation
Ich habe Leute gesehen, die mit UUID für die Authentifizierung token-generation. Jedoch, in RFC 4122 es wird festgestellt, dass
Nicht davon ausgehen, dass UUIDs sind schwer zu erraten; Sie sollten nicht verwendet werden
als security-Funktionen (IDS, deren bloße Besitz gewährt
Zugang), zum Beispiel.
Frage ich mich, welche algorithmen verwendet werden, zum Beispiel in Java und .NET für die SessionId/AuthenticationToken generation. Ist die UUID in der Tat ungeeignet für diese Zwecke in einer Anwendung, die mehr als der Durchschnitt mit Sicherheit muss?
InformationsquelleAutor oldbam | 2011-03-09
Du musst angemeldet sein, um einen Kommentar abzugeben.
UUID
generation ist zufällig, aber zufällig mit bad Entropie bedeutet, dass Sie werden am Ende mit leicht zu erratenUUID
s. Wenn Sie einen guten random number generator können Sie generierenUUID
s, die verwendet werden können für Sitzungen. Der Haken allerdings ist, dassUUID
s nicht gebaut haben,-in re-play-Prävention, Manipulation, fixation, etc., Sie haben zu handhaben, die auf Ihre eigenen (lese: eine UUID durch die selbst sollte nicht als gültige session-ID selbst). Dieser sagte, hier ist ein gutes snippet für die, wie würden Sie generieren, eine sichereUUID
mitpython
:Eindeutige session-id in python
InformationsquelleAutor Sean