Реализация Session-ID как части HttpSession?

Question

Я разрабатываю новый тип HttpServer, я хотел бы поддержать Java-функцию HttpServer, как реализовать такую ​​функцию?

Все, что я знаю, это то, что вам нужно сгенерировать длинный сеанс-id уникальную строку и отправьте ее через cookie-файл, срок действия которого истекает через настраиваемое количество минут, и вам нужно обновлять этот cookie-файл при каждом ответе.

но достаточно ли он защищен?почему никто не может попытаться угадать строку с идентификаторами сессии и попытаться перехватить сессию другого человека?

Answer 1

Класс SecureRandom - хорошее место для начала, если вы хотите начать генерировать достаточно хорошие идентификаторы сеанса.Есть несколько других вещей, на которые следует обратить внимание, в частности, размер сгенерированного идентификатора среди других.Вы можете обратиться к статье " Безопасное управление сеансами с файлами cookie для веб-приложений " для получения дополнительной информации.Раздел, посвященный созданию энтропийных значений, вероятно, то, что вам нужно.

Answer 2

Если он достаточно длинный, он на некоторое время выдержит атаку грубой силой. Если вы не используете SSL, кто-то другой может прослушать ключ сеанса по сети.