django set_signed_cookie 方法理解

2023年4月10日下午2:39 • Django

djang set_signed_cookie 理解

signed_cookie 只是加了签名的 cookie, 而不是被加密的 cookie.

signed_cookie 的作用是防止用户私自纂改.参考: Securing Web Cookies With Signatures

So once I’ve logged in, we set a username cookie containing “Michael Brunton-Spall”, or uid=1 or something.
The problem with this is that the user is in total control of this cookie
单纯的记录 uid 或者用户名在 cookie 中很容易被篡改(也是不建议将用户敏感信息记录在cookie中的原因), 万一攻击者把uid=1换成uid=2岂不是可以访问 uid=2用户的资源了吗? 而如果换成uid=2:1fPjh2:iQGDDYNcgSYkIFqa2ixqakj6-gI那么服务端不仅检验uid, 还检验uid=2后面的签名字段, 即是调用HttpRequest.get_signed_cookie(key=key, salt=salt), 这样即使用户把 cookie 中的 value 换成 uid=2, 但是没有签名, 服务端照样拒绝访问资源.

另外, Django 的 cookie 签名是用的Base64_with_hmac, 参考: Source code for django.core.signing

如果需要在 cookie 里设置被加密的 value, 需要自行对 value 进行加密(好像只能是对称加密), 比如使用hashlib.sha256{参考: hashlib — Secure hashes and message digests}:

cookie签名代码:

response.set_signed_cookie("qyUserName", "WANGCONGXING", salt="d8s#wc%0t7")

设置cookie后的效果:

django set_signed_cookie 方法理解

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：django set_signed_cookie 方法理解 - Python技术站

赞 (0)

微信扫一扫

微信扫一扫

支付宝扫一扫

支付宝扫一扫

离线部署Django工程项目迁移到无网络环境

上一篇 2023年4月10日

Django之drf的视图类

下一篇 2023年4月10日

一文了解Django缓存机制

一文了解Django缓存机制缓存的概念缓存是指存储一份计算过的结果，以便后续快速访问和获取数据的技术。相对于实时读取、计算等方式，缓存已被广泛应用在提高应用程序性能、减轻服务器压力等方面。 Django内置了缓存框架，支持多种缓存后端，包括内存缓存、文件缓存、Redis缓存等。缓存使用步骤 1.启用缓存在settings.py中配置CACHES，指明…

Django 2023年5月16日
000
Django视图和URL配置详解

Django是一个开发Web应用的强大框架，其中视图（Views）和URL配置（URL Configuration）是构成Django应用的重要组成部分，下面我将为您详细讲解这两个部分的内容。 Django视图（Views）在Django中，视图是指处理HTTP请求并返回HTTP响应的Python函数。通过定义视图，我们可以实现Web应用程序中各种不同的功…

Django 2023年5月16日
000
django框架之drf：2、restful规范，序列、反序列化，drf安装及使用（django原生接口及drf接口编写）

Django之drf 一、restful规范 1、概念 REST全称是Representational State Transfer，中文意思是表述：表征性状态转移，它首次出现在2000年Roy Fielding的博士论文中。 RESTful是一种定义Web API接口的设计风格，尤其适用于前后端分离的应用模式中 2、REST的十个规范数据的安全保…

Django 2023年4月13日
000
Django框架—-render函数和redirect函数的区别

render函数和redirect函数的区别: render：只会返回页面内容，但是未发送第二次请求 redirect：发挥了第二次请求，url更新具体实例说明 render： redirect：

Django 2023年4月12日
000
Django数据库(SQlite)基本入门使用教程

下面为您详细讲解“Django数据库(SQlite)基本入门使用教程”：标题：Django数据库(SQlite)基本入门使用教程一、为什么选择SQlite SQlite是一个轻型的关系型数据库管理系统，适用于小型项目和学习使用，因为它可以方便安装、配置和使用。同时，Django将它作为默认的数据库。二、配置Django数据库(SQlite) 安装SQl…

Django 2023年5月16日
000
全面剖析Python的Django框架中的项目部署技巧第2/2页

下面我会详细讲解“全面剖析Python的Django框架中的项目部署技巧第2/2页”的完整攻略。概述本文将会详细讲解如何使用Django框架部署一个Web项目的完整攻略。其中包括了两条示例说明，旨在帮助读者更好地理解如何使用Django来进行项目部署。步骤以下是部署Django项目的详细步骤。 1. 准备工作首先，你需要做一些准备工作。创建一个D…

Django 2023年5月16日
000
Django之单表查询，多表查询（正向、反向查询），聚合查询

常用字段 AutoField int自增列，必须填入参数 primary_key=True。当model中如果没有自增列，则自动会创建一个列名为id的列。 IntegerField 一个整数类型,范围在 -2147483648 to 2147483647。(一般不用它来存手机号(位数也不够)，直接用字符串存，) CharField 字符类型，必须提供max_…

Django 2023年4月12日
000
Django JWT登录认证机制

Django REST framework JWT 在用户注册或登录后，我们想记录用户的登录状态，或者为用户创建身份认证的凭证。我们不再使用Session认证机制，而使用Json Web Token认证机制。很多公司开发的一些移动端可能不支持cookie，并且我们通过cookie和session做接口登录认证的话，效率其实并不是很高，我们的接口可能提供给多…

Django 2023年4月17日
000

合作推广

合作推广

返回顶部