根据OWASP:会话标识符必须是唯一的。它们还必须是不可预测的,以减轻猜测攻击,并且足够长的时间来减轻暴力攻击。
但是,如果标识符经过加密签名并存储在一个安全的cookie中,该怎么办?那么,也许一个简单的计数器可以作为标识符。这将确保独特性。但是,签名会减轻这些攻击吗?
我之所以这么问,是因为随机生成标识符似乎会留下漏洞和挂起系统的可能性(必须生成标识符,直到找到唯一的标识符(。这种方法似乎排除了两者。
我理解这些担忧不太可能发生。
听起来你基本上将加密算法用作随机数生成器。这并没有本质上的错误,但大多数人通过使用全局唯一标识符(GUID(来解决这个问题,只需选择一个足够长的标识符,碰撞的可能性就不值得担心了。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium