我使用redisson来存储tomcat会话,以便使用负载均衡器在两个服务器之间分发请求。我想知道是否有一个服务器之间的会话ID冲突的机会?或者如何确保会话ID在服务器之间是唯一的?
xvw2m8pv1#
会话ID是一个非常重要的秘密。如果会话ID遵循任何类型的模式或可以预测,结果将是灾难性的。因为它对金融、保险和基础设施系统造成了巨大的危害。如果可以预测会话ID,那么“破解”活动会话将是微不足道的。幸运的是,Tomcat的作者很好地了解了这些风险,并且默认的会话ID生成器代码非常健壮。在引擎盖下,它使用强大的加密技术来生成具有极低碰撞可能性的ID。就像你必须在碰撞之前生成几个世纪的会话。不要相信我的话,你可以在这里检查StandardSessionIdGenerator的代码:
请注意SecureRandom的使用和默认会话ID的相当大的键空间。很难预测下一个值。您可以放心,几乎在每个用例中,每个服务器都将产生唯一的值。
SecureRandom
1条答案
按热度按时间xvw2m8pv1#
会话ID是一个非常重要的秘密。如果会话ID遵循任何类型的模式或可以预测,结果将是灾难性的。因为它对金融、保险和基础设施系统造成了巨大的危害。如果可以预测会话ID,那么“破解”活动会话将是微不足道的。
幸运的是,Tomcat的作者很好地了解了这些风险,并且默认的会话ID生成器代码非常健壮。在引擎盖下,它使用强大的加密技术来生成具有极低碰撞可能性的ID。就像你必须在碰撞之前生成几个世纪的会话。
不要相信我的话,你可以在这里检查StandardSessionIdGenerator的代码:
请注意
SecureRandom的使用和默认会话ID的相当大的键空间。很难预测下一个值。您可以放心,几乎在每个用例中,每个服务器都将产生唯一的值。