認証トークンとしてのUUID
私は、基本的にステータス表示である小さなIOTデバイスに取り組んでいます。これには、電話に関するデータが含まれています。つまり、POSTリクエストを使用してデバイスの表示を更新するために使用できる単純なWebサーバーを実行しています。
私の質問に:プリミティブ認証トークンとしてUUIDを使用することで十分でしょうか?これらはすべてRaspberry Piで実行される可能性が高いため、電力を大量に消費するライブラリを使用したくありません。
認証トークンは推測できないようにする必要があります。一部のUUIDはそうですが、そうでないものもあります。 CSPRNGで生成されたUUID v。4を使用する場合は問題ありません。ただし、暗号的に安全である必要があります。
もう1つのオプションは、すでにTLSを導入していることを期待しているため、クライアント証明書を使用することです。