authentication - example - Mejores prácticas para SessionId/generación de token de autenticación
json web token example (1)
He visto personas que usan UUID para la generación de token de autenticación. Sin embargo, en RFC 4122 se afirma que
No asuma que los UUID son difíciles de adivinar; no deben usarse como capacidades de seguridad (identificadores cuya mera posesión otorga acceso), por ejemplo.
Me preguntaba qué algoritmos se utilizan, por ejemplo, en Java y .NET para la generación SessionId / AuthenticationToken. ¿Es UUID de hecho inadecuado para estos propósitos en una aplicación que tiene necesidades de seguridad superiores al promedio?
UUID generación de UUID es aleatoria, pero aleatoria con mala entropía significa que terminará con UUID fáciles de adivinar. Si usa un buen generador de números aleatorios, puede generar UUID que pueden usarse para las sesiones. Sin embargo, el problema con esto es que los UUID no tienen prevención de reproducción, manipulación, fijación, etc. incorporadas, usted debe manejar eso por su cuenta (lea: un UUID por sí solo no debe considerarse un ID de sesión válido por sí mismo). Dicho esto, aquí hay un buen fragmento de cómo generarías un UUID seguro usando python :