新しい種類の HttpServer を開発しています。HttpServer の Java に似た機能をサポートしたいのですが、そのような機能をどのように実装すればよいですか?
私が知っているのは、長いセッション ID の一意の文字列を生成し、構成可能な分数後に有効期限が切れる Cookie を介して送信する必要があり、応答ごとにこの Cookie を更新する必要があるということだけです。
しかし、それは十分に安全ですか?session-ids 文字列を推測して、他の誰かのセッションを乗っ取ろうとする人がいないのはなぜですか?
十分な長さであれば、しばらくの間、総当たり攻撃に耐えることができます。SSL を使用しない場合、他の誰かがネットワーク経由でセッション キーを「盗聴」できる可能性があります。
十分なセッション ID の生成を開始したい場合は、SecureRandom クラスを使用することをお勧めします。他にも注意すべき点がいくつかありますが、最も顕著なのは生成された ID のサイズです。詳細については、論文「Web アプリケーションの Cookie を使用したセキュアなセッション管理」を参照してください。エントロピー値の生成について説明しているセクションは、おそらく必要なものです。