Я хочу реализовать простую учетную запись для зарегистрированных пользователей, поэтому они будут включены в систему после закрытия браузера. Поэтому я думал о создании файла cookie, который содержит уникальный ключ, сгенерированный UUID.randomUUID, и на стороне сервера я сопоставляю его с именем пользователя.Запомните мне функциональность + другие проблемы с безопасностью
Действительно ли это достаточно безопасно? Каковы риски? Должны ли я принимать меры предосторожности, чтобы хакеры не пытались использовать случайные ключи?
Я думал об использовании фреймворка для аутентификации, такого как spring security или apache shiro, но я не мог найти никакой пользы, которую они мне дают (мне не нужен сложный контроль доступа, просто регистрация пользователя/логин). Не хватает ли чего-то важного с точки зрения безопасности?
обновление
Я думаю, мой вопрос на самом деле: сделать рамки, как весной и Shiro сделать что-то значительно более сложные для запомнить функциональные возможности, которые производят безопасности, что я, вероятно, не может сравниться?
Безопасно? Зависит от чего. Ничего важного не должно быть так. Хакеры могут и будут использовать случайные ключи - или, что еще хуже, сделать атаку «человек в середине» и прочитать ваш идентификатор сеанса, подслушивая провод. – CPerkins
Вы были бы уязвимы для повторных атак, для одного. Все, что не хватает для выдачи клиентских сертификатов, действительно нечеткое с точки зрения безопасности. Информацию об атаках повторного воспроизведения см. На странице http://en.wikipedia.org/wiki/Replay_attack –
См. [Окончательное руководство по аутентификации веб-сайтов на основе форм) (http://stackoverflow.com/questions/549/the-definitive-guide -в-формы на основе-сайт-аутентификация). –