程序员经验分享-hwhale

SessionId/身份验证令牌生成的最佳实践

2024-04-15

我见过有人使用 UUID 来生成身份验证令牌。然而,在RFC 4122 http://www.ietf.org/rfc/rfc4122.txt据称

不要假设 UUID 很难猜测;不应该使用它们 作为安全功能(仅拥有即可授予的标识符 访问),例如。

我想知道 Java 和 .NET 中使用什么算法来生成 SessionId/AuthenticationToken。在具有高于平均安全需求的应用程序中,UUID 是否确实不适合这些目的?


UUID生成是随机的,但是具有坏熵的随机意味着你最终会很容易猜测UUIDs。如果您使用好的随机数生成器,您可以生成UUID可用于会话。然而,问题在于UUID没有内置的重播预防、篡改、固定等功能,您必须自己处理这些问题(请阅读:UUID 本身不应被视为有效的会话 ID)。也就是说,这里有一个很好的片段,说明如何生成安全的UUID using python:

python中的唯一会话ID https://stackoverflow.com/questions/817882/unique-session-id-in-python/6092448#6092448

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

authentication

UUID

SessionID

SessionId/身份验证令牌生成的最佳实践 的相关文章

  • 检测 PHP 中的 Ajax

    我正在尝试将 ajax 发布到同一个 php 页面 Ajax loginForm submit function e e preventDefault var postData this serialize post login php p

  • 嵌入公共 Facebook 页面的活动源,无需强制用户登录/允许

    这与之前多次提出的问题类似 但无论我读什么 我仍然很困惑 我有一个公共 Facebook 页面 例如 White Collar 我需要将其活动源嵌入到我的 Android 应用程序中 我了解如何获取应用程序 ID 和应用程序秘密 但我不了解

  • Jawbone UP API oAuth 和访问令牌

    我今天开始深入研究 Jawbone 的 UP API 整个身份验证过程中一切似乎都很顺利 问题是 一旦我取回访问令牌 它始终是相同的令牌 它在我的任何请求中都不起作用 并且我无法使用刷新令牌端点更改它 oAuth 设置 url params

  • 使用 oAuth 或其他方式实施访问

    我正在尝试想办法向其他第三方网站开放网站及其部分数据库 类似于 Twitter 让网络应用程序连接到其数据库以检索数据并可能存储数据的方式 我最初的研究让我想到了 oAuth 或者是 openID 我需要做的是让第三方网站登录网站上的用户帐

  • 代理 golang https

    我正在努力让一个人进来https www google com https www google com使用带有身份验证的代理 我已经传递了标头参数 代理授权 但代理服务器返回 需要代理身份验证 code package main impo

  • 使用Python的Requests模块登录ASP网站

    我试图从我的学校页面上抓取一些信息 但我很难通过登录 我知道有类似的线程 我花了一整天的时间阅读 但无法使其发挥作用 这是我使用的程序 用户名和密码已更改 import requests payload ctl00 cphmain Logi

  • django-guardian 和 django-rules 可以一起使用吗?

    我希望能够使用创建每个对象的权限django guardian https django guardian readthedocs io en stable overview html 但我想围绕这些权限添加一层逻辑 例如 如果有人有edi

  • 覆盖单个页面的 ASP.NET 表单身份验证

    在我们的 ASP NET MVC 应用程序中 我们通过以下方式自动将用户重定向到登录页面

  • Cookie 中应保存什么类型的信息 (PHP)

    我正在制作一个登录 注销类 用于登录用户 根据用户的选择设置 cookie 用户输入他们的电子邮件 密码 它会检查数据库 电子邮件 密码组合是否存在 创建会话 设置 cookie 使用用户 ID 然后重定向用户 然后我有一个记录用户的功能通

  • Spring MVC 3.0 基本身份验证实现

    我目前正在使用 ASP NET 的 Spring MVC 框架将我的 Web 应用程序转换为 Java 不过学习它的好方法 我需要在我的应用程序中实现身份验证 请告诉我我的方法是否足够好和专业 以及如果不是 最好的做法是什么 首先 我正在编

  • 如何隐藏 Akka 远程 Actor 来查找?

    我正在运行 Akka 2 0 2 微内核 并希望为不受信任的远程参与者实现身份验证方案 首先想到的是设置一个身份验证参与者 当身份验证成功时 该参与者会返回对工作参与者的引用 但是 我应该如何保护工作参与者不被简单地通过 actorFor

  • 因登录失败 3 次而禁用帐户 [已关闭]

    就目前情况而言 这个问题不太适合我们的问答形式 我们希望答案得到事实 参考资料或专业知识的支持 但这个问题可能会引发辩论 争论 民意调查或扩展讨论 如果您觉得这个问题可以改进并可能重新开放 访问帮助中心 help reopen questi

  • 不使用 PIN 的 Twitter 身份验证

    我正在尝试验证 Windows Phone 中的用户帐户 我找到了这个 C 库来完成这项工作 tweetsharp 他们的示例非常清楚 但他们使用 pin 码来验证用户身份 using TweetSharp Pass your creden

  • 使用客户端凭据从 Azure AD 获取访问令牌以进行本机应用程序注册 (PowerBI)

    我使用后端应用程序中的 adal4j 版本 1 2 0 来获取访问令牌 以便能够使用 PowerBI REST API 嵌入报告 更具体地说 是GenerateToken 方法 我已在 Azure 中注册了一个本机应用程序 并为其提供了必要

  • 什么是依赖注入的 Pythonic 方式?

    介绍 对于 Java 依赖注入作为纯 OOP 工作 即您提供要实现的接口 并在框架代码中接受实现定义的接口的类的实例 现在对于 Python 您可以执行相同的操作 但我认为该方法对于 Python 而言开销太大 那么如何以 Pythonic

  • Spring 如何在登录网址上设置动态前缀

    我有一个始终以动态前缀开头的 Spring 应用程序 这是因为我需要该前缀来进行一些内部配置 问题是 当我尝试设置登录页面时 无法传递该前缀并使其工作 如何为我的登录页面设置动态前缀 这是我的 AppController 的一部分 我在其中

  • Devise 和 Ruby on Rails:尝试登录时如何解决“Completed 401 Unauthorized”问题

    我正在尝试将 Devise gem v4 7 2 与 Ruby on Rails v6 0 3 2 一起使用 单击 登录 按钮时 我收到以下输出 Started POST users sign in for 1 at 2020 11 21

  • 如何捕获密码提示

    我有以下代码 更新为包括 pexpect import sys import subprocess import pexpect print 0 ssh subprocess Popen ssh A t email protected cd

  • UUID 作为 MySQL id 列的默认值

    我正在尝试向 MySql 8 0 17 中的现有表添加一列 该列需要包含 UUID 我正在尝试将其设置为默认值 这是我正在执行的语句 ALTER TABLE myTable ADD COLUMN UUID varchar 36 NOT NU

  • 从字符串“”到类型“布尔”的转换无效

    我在 ASP NET 登录表单的标题中收到错误消息 有谁知道我该如何解决它 非常感谢帮助 Protected Sub Button1 Click ByVal sender As Object ByVal e As EventArgs Han

随机推荐

  • 如何更改 jQuery 中的包装标签?

    下面的代码行将更改p标记到一个div tag p contents unwrap wrap div div 问题是这样的 这也将把任何内部标签变成div也是如此 Example 采取以下 HTML p abc a 121 a cba p 运

  • 如何在 MS SQL Management Studio 2012 中的调试会话期间查看表变量中的数据?

    我想使用 SSMS 2012 调试复杂的 T SQL 脚本 我可以在调试模式下运行脚本并放置断点 以及单步执行脚本 但我看不到存储在表变量中的值 In the Locals窗口我看到所有这些变量 但它们的值显示为 table 无法通过上下文

  • RSpec 惰性主题

    测试类方法时 我不需要自动创建实例 隐式主题是自动创建的 还是仅在引用时创建 describe MyClass do it uses implicit subject do subject my method should be true

  • 为什么 python strptime 不支持%z?

    gt gt gt datetime strptime 2014 02 13 11 55 00 0800 Y m d H M S z Traceback most recent call last File

  • 使用令牌 URI 获取证书 URI

    我正在尝试在 Ubuntu 上使用 USB 令牌来访问 VPN 此访问必须使用 openconnect 来完成 并在连接字符串中使用证书的 URI 但问题是 我不知道如何获取我的证书的 URI 我已经能够让 Ubuntu 识别该令牌 并且通

  • for 循环中的多个不同的事件侦听器

    下面的代码始终返回未定义 为什么是这样 我希望事件侦听器以索引字符串进行响应 Thanks var array Hey Hi Hello for var i 0 i lt array length i var box document cr

  • 如果我的应用程序处于活动状态,如何屏蔽主页键? (屏保、锁屏)

    如果我想写一个屏幕保护程序或锁屏 有没有办法防止home键返回到启动器 简单 当您进入活动时 调用 getWindow setType WindowManager LayoutParams TYPE KEYGUARD 当您退出活动时 请致电

  • 如果 2 个或更多人同时更新记录会发生什么?

    我使用 NHibernate 的版本属性 每次更新聚合根时该属性都会自动递增 如果 2 个或更多人同时更新同一条记录会发生什么 另外 我将如何测试这个 请注意 这不是我遇到过的情况 只是想知道 什么是原子的 什么不是 正如其他人所说 SQL

  • 为什么 :sprint 总是打印“_”?

    Prelude gt let a 3 Prelude gt sprint a a Prelude gt let c ab Prelude gt sprint c c 为什么总是打印一个 我不太明白的语义 sprint命令 Haskell 是

  • Gsub 获取 R 正则表达式中部分匹配的字符串?

    gsub a zA Z 0 9 5 1 htf84756 iuy 1 84756 iuy 我想获得84756 我该怎么办 Using gregexpr with regmatches 优点是只要求您的模式与您实际想要提取的位相匹配 stri

  • 原始类型的泛型(Int、Float、Double)会产生奇怪的错误消息

    这里有人可以看一下代码并告诉我它有什么问题吗 我本质上尝试构建几个对某些原始类型进行操作的通用函数 例如Int Float Double etc 不幸的是我无法让它正常工作 这是有效的代码 部分 http stackoverflow com

  • 以编程方式模拟平滑的拖动事件

    我用的是定制的拖动线性布局 https github com justasm DragLinearLayout 我添加的所有孩子都使用addDragView 可拖动 用户交互 我想模拟单击视图的拖动事件 平滑移动到布局底部 ACTION D

  • 有没有办法获取线程使用哪个核心?

    有没有办法获取线程使用哪个核心 例如 printf Core 2d n coreN 如果您使用的是基于 Linux 的系统 您可以使用 sched getcpu 打印线程正在运行的当前 CPU 核心数 cout lt lt Thread r

  • 是否可以在活动内启动活动?如何?

    活动A是主要的可见活动 我想开始活动B inside 活动A 并建立活动B in 框架布局 或类似的东西 的活动A 是否可以 如何 是的 您可以使用ActivityGroup并将其嵌入其中 http developer android co

  • Java 1.3 String.replaceAll() ,替换

    我正在和一些非常老的人一起工作Java 1 3准确地说 我正在尝试清理一些String通过删除非字母字符 标点符号和数字等 进行输入 通常我会做类似的事情 String replaceAll A Za z 然而 replaceAll 被介绍

  • c#:以 100% 质量保存 JPEG 时图像质量降低

    我只是加载 JPEG 图像并保存它 而不对其进行任何操作 但图像质量明显下降 这是代码 Bitmap imgOutput new Bitmap D image jpg Graphics outputGraphics Graphics Fro

  • SMS 是注册 Google App Engine 的唯一方式吗?

    我没有手机 但 Google App Engine 需要短信来验证帐户 还有其他方法可以完成注册吗 我很惊讶他们不使用 Gmail 帐户来执行此操作 编辑 谷歌为我创建了一个 问题解决了 否 如果您没有办法接收短信 您可以填写短信问题表格

  • 有没有办法在 Angular 2 中以可折叠格式显示有效的 json?

    有没有办法在 Angular 2 中以可折叠格式显示有效的 json pre data json pre 将很好地显示 json 但我需要能够折叠 展开其中的各个对象 尝试 ngx json viewer 它非常适合显示具有可展开 可折叠节

  • 向下滑动显示textview动画

    我有兴趣在我的 Android 应用程序中添加一个切换 TextView 可见性的动画 我希望它不只是将可见性设置为 Visibility GONE 和 Visibility VISIBLE 相反 我希望它具有类似 jquery 的幻灯片效

  • SessionId/身份验证令牌生成的最佳实践

    我见过有人使用 UUID 来生成身份验证令牌 然而 在RFC 4122 http www ietf org rfc rfc4122 txt据称 不要假设 UUID 很难猜测 不应该使用它们 作为安全功能 仅拥有即可授予的标识符 访问 例如

热门标签