SessionId/인증 토큰 생성을위한 모범 사례

Question

인증 토큰 생성을 위해 UUID를 사용하는 사람들을 보았습니다. 그러나 RFC 4122에있는 내용은 다음과 같습니다.

UUID를 추측하기 어렵다고 가정하지 마십시오. 예를 들어, 보안 기능 (단순한 소유로 액세스 권한을 부여하는 식별자)으로 을 사용해서는 안됩니다.

저는 Java와 .NET에서 SessionId/AuthenticationToken 생성에 사용되는 알고리즘이 무엇인지 궁금합니다. 평균 이상의 보안 요구 사항이있는 응용 프로그램에서 이러한 목적으로 UUID가 실제로 적합하지 않습니까?

Answer 1

UUID 세대가 임의이지만 나쁜 엔트 로피가있는 임의의 숫자는 당신이 쉽게 추측 할 수있는 UUID이 될 것을 의미합니다. 좋은 난수 생성기를 사용하는 경우 세션에 사용할 수있는 UUID을 생성 할 수 있습니다. 그러나이 캐치는 UUID에 내장 된 재생 방지, 변조, 고정 등이 없기 때문에 독자적으로 처리해야합니다 (읽기 : UUID 자체만으로는 간주되지 않아야 함). 유효한 세션 ID 자체).

Unique session id in python

: 그 다음은 python을 사용하여 보안 UUID을 생성 할 방법에 대한 좋은 조각이야 말했다