如何解决加密签名的计数器作为会话标识符
According to OWASP:会话标识符必须唯一。它们还必须不可预测以减轻猜测攻击,并且必须足够长以减轻暴力攻击。
但是,如果标识符经过加密签名并存储在正确保护的cookie中,该怎么办?然后,一个简单的计数器可能就是标识符。那将确保唯一性。但是签名会减轻这些攻击吗?
我问,因为随机标识符的生成似乎为漏洞和悬挂系统留下了可能性(必须生成标识符,直到找到唯一的标识符为止)。这种方法似乎消除了两者。
我知道这些担忧不太可能发生。
解决方法
听起来您基本上是在使用加密算法作为随机数生成器。这样做本质上没有什么错,但是大多数人通过使用全局唯一标识符(GUID)来解决此问题,并且只需选择一个足够长的时间就不会担心发生碰撞的可能性。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。