安全令牌的长度

发布于 2024-12-03 01:03:00 字数 232 浏览 3 评论 0原文

我正在使用安全令牌创建不可猜测的 URL，如下所示（16 字节，十六进制）

http://example.com/something/private/b5f8c21a628e12b39786fb8ef9561d31

该令牌类似于共享密码：谁知道该 URL 是否允许访问该资源。

对于安全 URL 来说，安全随机值必须多少字节才合适？

原文

I'm using security tokens to create not guessable URLs like this (16 bytes, hex)

http://example.com/something/private/b5f8c21a628e12b39786fb8ef9561d31

The token is something like a shared passwords: Who knows the URL is allowed to access the resource.

How many bytes should a secure random value have to be appropriate for secure URLs?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

心安伴我暖 2024-12-10 01:03:00

我最终得到了一个 64 位随机值，该值被编码为 url 安全的 Base64。猜测正确标记的可能性是 1 / 2^64 等于 1 / 18446744073709551616。这是一个相当令人印象深刻的数字，攻击者几乎不可能通过 http 请求找到正确的令牌。

网址现在如下所示：http://example.com/private/1oWYPiqO81k/

回复收藏 0 原文

千仐 2024-12-10 01:03:00

所有应用程序在某些时候都依赖于加密随机数。毕竟这是一个会话 id 或 csrf 令牌值。这里的重要性在于，如果攻击者有 100 年的时间来打破它，那么该值有多长并不重要。 100 年是一段很长的时间，但你应该努力让你的设计能够持续这么久。

Cookie 与您的值在安全性方面的主要区别在于 Cookie 会在每次使用时过期并发生变化。但实际上，应该不惜一切代价避免这个值。如果这用于身份验证，则依赖会话 ID，这就是它存在的原因。不要滚动自己的会话。

回复收藏 0 原文

眼眸里的快感 2024-12-10 01:03:00

例如，10 个 unicode 字符 URL 实际上是不可能猜测的，因为令牌有 160 位长，因此有 2^160 种不同的可能 URL。但是，您不应该依赖类似的安全性，而应该依赖经典的登录和身份验证

回复收藏 0 原文

~没有更多了~

关于作者

却一份温柔

暂无简介

文章

25 人气

关注发私信

友情链接

文江博客

安全令牌的长度

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（3）

关于作者

相关话题

热门标签

推荐作者

睡美人的小仙女

七七

囍笑

盛夏尉蓝

ゞ花落谁相伴

Sherlocked

友情链接

安全令牌的长度

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（3）

关于作者

相关话题

热门标签

推荐作者

睡美人的小仙女

七七

囍笑

盛夏尉蓝

ゞ花落谁相伴

Sherlocked

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。