我正在开发一种新型的 HttpServer, 我想支持 HttpServer 类似 Java 的功能 如何实现这样的功能?
我所知道的是,您需要生成一个长 session ID 唯一字符串,并通过 cookie 发送它,该 cookie 在可配置的分钟数后过期,并且您需要在每次响应时更新此 cookie。
但是它足够安全吗?为什么没有人可以尝试猜测 session-ids 字符串并尝试劫持其他人的 session ?
最佳答案
如果足够长,它可以承受一段时间的暴力攻击。如果您不使用 SSL,其他人可能能够通过网络“嗅探” session key 。
关于java - 将 Session-ID 实现为 HttpSession 的一部分?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5580718/