百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

不要使用UUID,它不安全(项目信息uuid不能为空是什么意思数电发票)

nanshan 2024-11-14 16:37 21 浏览 0 评论


如果您需要一个不可猜测的随机字符串(例如,用于会话 cookie 或访问令牌),可能很想获取一个随机 UUID,如下所示:

88cf3e49-e28e-4c0e-b95f-6a68a785a89d

这是一个 128 位值,格式为 36 个十六进制数字,用连字符分隔。在 Java 和大多数其他编程语言中,这些很容易生成:

import java.util.UUID;
String id = UUID.randomUUID().toString();

在引擎盖下,这使用了一个加密安全的伪随机数发生器(CSPRNG),所以生成的ID是相当独特的。然而,使用随机UUID有一些缺点,使它们没有最初看起来那么有用。在这篇笔记中,我将描述这些缺点以及我建议使用的替代方法。

...
详细分析见原文

122 位 UUID 面对黑客攻击只能坚持……2048 秒,或者少于 35 分钟。

对 Java 的随机 UUID 实现的一个具体批评是:
它在内部使用单个共享SecureRandom实例来生成随机位。根据配置的后端,这可能会获得一个锁,如果您生成大量随机令牌,特别是如果您使用系统阻塞熵源(不要那样做,请使用 /dev/urandom),这可能会变得激烈竞争。通过滚动您自己的令牌生成,您可以使用本地线程或 SecureRandom 实例池来避免此类争用。(注意——NativePRNG 在内部使用共享静态锁,所以这在这种情况下没有帮助,但它也持有较短的关键部分的锁,因此不太容易出现问题)。


我们应该用什么代替?
我的建议是使用一个 160 位(20 字节)的随机值,然后对其进行URL 安全的 base64编码。URL 安全的 base64 变体几乎可以在任何地方使用,而且相当紧凑。在Java中:

import java.security.SecureRandom;
import java.util.Base64;

public class SecureRandomString {
    private static final SecureRandom random = new SecureRandom();
    private static final Base64.Encoder encoder = Base64.getUrlEncoder().withoutPadding();

    public static String generate() {
        byte[] buffer = new byte[20];
        random.nextBytes(buffer);
        return encoder.encodeToString(buffer);
    }
}

这产生的输出值如下:
Xl3S2itovd5CDS7cKSNvml4_ODA

这比 UUID 更短,而且具有 160 位的熵更安全。
如果需要,我还可以将 SecureRandom 变成 ThreadLocal。

那么我们的极端攻击者需要多长时间才能找到一个 160 位的随机令牌?大约一千七百九十万年。通过稍微调整我们的令牌格式,我们可以从担心攻击者的能力和资源转移到内心的平静和幸福。这远远超出了我们可以停止担心的可能范围。
为什么不更进一步呢?为什么不是 256 位?
这会将攻击成本推向更加荒谬的境地。我发现 160 位是出色安全性的最佳选择,同时仍然具有紧凑的字符串表示形式。

原文:不要使用UUID,它不安全!

相关推荐

使用nginx配置域名及禁止直接通过IP访问网站

前段时间刚搭建好这个网站,一直没有关注一个问题,那就是IP地址也可以访问我的网站,今天就专门研究了一下nginx配置问题,争取把这个问题研究透彻。1.nginx配置域名及禁止直接通过IP访问先来看n...

如何在 Linux 中使用 PID 号查找进程名称?

在Linux的复杂世界中,进程是系统运行的核心,每个进程都由一个唯一的「进程ID」(PID)标识。无论是系统管理员在排查失控进程,还是开发者在调试应用程序,知道如何将PID映射到对应的进程名称都是一项...

Linux服务器硬件信息查询与日常运维命令总结

1.服务器硬件信息查询1.1CPU信息查询命令功能描述示例lscpu显示CPU架构、核心数、线程数等lscpucat/proc/cpuinfo详细CPU信息(型号、缓存、频率)cat/proc/c...

Ubuntu 操作系统常用命令详解(ubuntu常用的50个命令)

UbuntuLinux是一款流行的开源操作系统,广泛应用于服务器、开发、学习等场景。命令行是Ubuntu的灵魂,也是高效、稳定管理系统的利器。本文按照各大常用领域,详细总结Ubuntu必学...

从 0 到 1:打造基于 Linux 的私有 API 网关平台

在当今微服务架构盛行的时代,API网关作为服务入口和安全屏障,其重要性日益凸显。你是否想过,不依赖商业方案,完全基于开源组件,在Linux上构建一个属于自己的私有API网关平台?今天就带你...

Nginx搭建简单直播服务器(nginx 直播服务器搭建)

前言使用Nginx+Nginx-rtmp-module在Ubuntu中搭建简单的rtmp推流直播服务器。服务器环境Ubuntu16.04相关概念RTMP:RTMP协议是RealTi...

Linux连不上网?远程卡?这篇网络管理指南你不能错过!

大家好!今天咱们聊个所有Linux用户都躲不开的“老大难”——网络管理。我猜你肯定遇到过这些崩溃时刻:新装的Linux系统连不上Wi-Fi,急得直拍桌子;远程服务器SSH连不上,提示“Connecti...

7天从0到上线!手把手教你用Python Flask打造爆款Web服务

一、为什么全网开发者都在疯学Flask?在当今Web开发的战场,Flask就像一把“瑞士军刀”——轻量级架构让新手3天速成,灵活扩展能力又能支撑百万级用户项目!对比Django的“重型装甲”,Flas...

nginx配置文件详解(nginx反向代理配置详解)

Nginx是一个强大的免费开源的HTTP服务器和反向代理服务器。在Web开发项目中,nginx常用作为静态文件服务器处理静态文件,并负责将动态请求转发至应用服务器(如Django,Flask,et...

30 分钟搞定 Docker 安装与 Nginx 部署,轻松搭建高效 Web 服务

在云计算时代,利用容器技术快速部署应用已成为开发者必备技能。本文将手把手教你在阿里云轻量应用服务器上,通过Docker高效部署Nginx并发布静态网站,全程可视化操作,新手也能轻松上手!一、准...

Nginx 配置实战:从摸鱼到部署,手把手教你搞定生产级配置

各位摸鱼搭子们!今天咱不聊代码里的NullPointerException,改聊点「摸鱼必备生存技能」——Nginx配置!先灵魂拷问一下:写了一堆接口却不会部署?服务器被恶意请求打崩过?静态资源加载...

如何使用 Daphne + Nginx + supervisor部署 Django

前言:从Django3.0开始支持ASGI应用程序运行,使Django完全具有异步功能。Django目前已经更新到5.0,对异步支持也越来越好。但是,异步功能将仅对在ASGI下运行的应用程序可用...

Docker命令最全详解(39个最常用命令)

Docker是云原生的核心,也是大厂的必备技能,下面我就全面来详解Docker核心命令@mikechen本文作者:陈睿|mikechen文章来源:mikechen.cc一、Docker基本命令doc...

ubuntu中如何查看是否已经安装了nginx

在Ubuntu系统中,可以通过以下几种方法检查是否已安装Nginx:方法1:使用dpkg命令(适用于Debian/Ubuntu)bashdpkg-l|grepnginx输出...

OVN 概念与实践(德育概念的泛化在理论和实践中有什么弊端?)

今天我们来讲解OVN的概念和基础实践,要理解本篇博客的内容,需要前置学习:Linux网络设备-Bridge&VethPairLinux网络设备-Bridge详解OVS+Fa...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表