django的signed_cookie

最新推荐文章于 2022-08-04 07:59:40 发布
最新推荐文章于 2022-08-04 07:59:40 发布
阅读量902 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43976393/article/details/88959586
本文探讨了signed_cookie的工作原理及其在防止用户篡改cookie中的作用。解释了signed_cookie如何通过添加签名而非加密来保护数据,并介绍了Django框架中实现signed_cookie的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

signed_cookie 只是加了签名的 cookie, 而不是被加密的 cookie.在客户端还是可以看到没有加密的value的

signed_cookie 的作用是防止用户私自纂改.参考: Securing Web Cookies With Signatures

So once I’ve logged in, we set a username cookie containing “Michael Brunton-Spall”, or uid=1 or something.
The problem with this is that the user is in total control of this cookie

单纯的记录 uid 或者用户名在 cookie 中很容易被篡改(也是不建议将用户敏感信息记录在cookie中的原因), 万一攻击者把uid=1换成uid=2岂不是可以访问 uid=2用户的资源了吗? 而如果换成uid=2:1fPjh2:iQGDDYNcgSYkIFqa2ixqakj6-gI那么服务端不仅检验uid, 还检验uid=2后面的签名字段, 即是调用HttpRequest.get_signed_cookie(key=key, salt=salt), 这样即使用户把 cookie 中的 value 换成 uid=2, 但是没有签名, 服务端照样拒绝访问资源.

另外, Django 的 cookie 签名是用的Base64_with_hmac, 参考: Source code for django.core.signing

如果需要在 cookie 里设置被加密的 value, 需要自行对 value 进行加密(好像只能是对称加密), 比如使用hashlib.sha256{参考: hashlib — Secure hashes and message digests}:

>>> import hashlib
>>> hashlib.sha256(b"value").hexdigest()
'cd42404d52ad55ccfa9aca4adc828aa5800ad9d385a0671fbcbf724118320619'

说句题外话, 
对于 json 格式的字符串的加密, 目前推荐的方案是 JWT 规范, 参考: Introduction to JSON Web Tokens, 同样也是把信息暴露给了用户(但是一般的用户不能直接通过 token 看到信息, 需要稍加解密, 用户也不可能修改加密后的内容).
需要比较根本地防止中间人攻击, 加上 https 会是比较明智的选择.

django_rest_framework实现cookie登录接口
分享自己浅浅的知识
11-22 1363
一、前言 1、注册和登录是我们在web中常见页面,当然,测试平台也是需要的,否则谁都可以进来看一看了 2、我们也会天天遇到这种情况,只要你注册或者登录一次,下次再访问首页时,就不会进入登录页面,而是直接进放首页,这个就用到了cookie中传说中的token登录方式 那这些是怎么实现的呢,我们下面就来说一说吧 二、rest_framework rest_framework是个很强大的插件,他其中一个功能就是帮助django自带的用户系统 自动生成token,这样就可以实现基于cookie的用户会话。
Djangocookie详解与实战示例(其他篇三)
Burgess_zheng的博客
01-29 603
上一篇:Django之时间区问题(其他篇二)点击跳转 目录篇:Django之其他目录篇 点击跳转 下一篇:Django之分页(其他篇四)点击跳转 什么是cookie? 我们都知道:httm请求默认都是短链接,每发一次请求得到回复就就断开连接 浏览器登录一个网站为什么登录密码能记住1个月?如何实现 结论:反过来想,我们在一台电脑选择记录登录账户和密码以后,我们一开该网站就自动登录了  但是我们...
django-带签名的cookie
pyhui的技术博客
09-02 576
响应对象.set_signed_cookie 设置带签名的cookie 签名指的就是加密 》使用示例: 响应对象.set_signed_cookie(键,值,salt=盐) 请求对象.get_signed_cookie 演练 》视图函数1,写入带签名的cookie 》视图函数2,读取带签名的cookie ...
signedCookies
weixin_30632883的博客
03-06 283
var express = require('../') , request = require('supertest') , cookieParser = require('cookie-parser') describe('req', function(){ describe('.signedCookies', function(){ it('...
签名(signed)cookie和令牌(token)cookie
ahao214——Dreamspace
02-09 1545
对于用来登录的cookie,有两种常见的方式可以将登录信息存储在cookie里面:一种是签名(signed)cookie,另一种是令牌(token)cookie 签名cookie通常会存储用户名,可能还有用户ID、用户最后一次成功登录的时间,以及网站觉得有用的其他任何信息。 令牌cookie会在cookie里面存储一串随机字节作为令牌,服务器可以根据令牌在数据库中查找令牌的拥有者。 签名cookie 优点:验证cookie所需的一切信息都存储在cookie里面。cookie可以包含额外的信息(addit
django设置cookie
Auto
01-29 1997
文章目录Cookie#0 GitHub#1 环境#2 开始#2.1 存储#2.2 设置#2.3 加密 Cookie #0 GitHub https://github.com/Coxhuang/django-cookie.git #1 环境 Python3.6 Django==2.0.7 #2 开始 #2.1 存储 Cookie是将数据保存在用户的浏览器中,至于如何保存,不需要我们操作 #2.2...
Django框架全面讲解 -- Cookie
qq_34802511的博客
08-06 211
Django框架全面讲解 -- Cookie 1.获取Cookie: request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) 参数: default: 默认值 salt: 加密盐 max_ag...
Django视图(三)
__Samual的博客
08-04 167
cookie不同(cookie是保存在客户端)session是保存在服务端的,session依赖于cookie,在使用session后,会在cookie中存储一个sessionid的数据,每次请求时浏览器都会将这个数据发给服务器,服务器在接收到sessionid后,会根据这个值找出这个请求者的Session。在settings.py文件中,可以设置session数据的存储方式,可以保存在数据库、本地缓存等。5)删除session中的指定键及值,在存储中只删除某个键及对应的值。如下设置可以写,也可以不写,.
Django Session和Cookie分别实现记住用户登录状态操作
09-16
2. 为了增加安全性,Django提供了`response.set_signed_cookie()`方法,它可以对Cookie值进行签名,防止篡改。需要提供一个盐(salt)参数,例如: ```python response.set_signed_cookie('login', 'yes', salt='SSS...
django进阶之cookie和session的使用示例
09-20
session的配置可以放在`settings.py`文件中,如`SESSION_ENGINE`指定了session的存储方式,`SESSION_COOKIE_NAME`指定了session cookie的名称等。 ### DjangoCookie和Session的配置 在`settings.py`中,Django...
公钥密钥理解,signed cookie
weixin_30892987的博客
11-18 489
公钥密钥理解,signed cookie 一、公钥密钥理解 公开密钥加密(英语:Public-key cryptography),也称为非对称加密(英语:asymmetric cryptography),是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时...
Python Django 设置和获取Cookie代码示例
学亮编程手记
03-04 444
Error: cookieParser(“secret“) required for signed cookies
weixin_42427897的博客
12-11 1599
在express中使用加密cookie时在cookieParser中加入了app.use(cookieParser('xxx'));还是报错:Error: cookieParser("secret") required for signed cookies 如下图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201211100008191.png) 出现原因: 以下为cookie封装的原生代码 在node_modules\express\lib\re
php domain cookie cross-domian,GitHub - MuYunyun/cross-domain: 跨域 demo 实验
weixin_30855745的博客
03-20 190
本文收录在 blog跨域是日常开发中经常开发中经常会接触到的一个重难点知识,何不总结实践一番,从此心中对之了无牵挂。同源策略之所以会出现跨域解决方案,是因为同源策略的限制。同源策略规定了如果两个 url 的协议、域名、端口中有任何一个不等,就认定它们跨源了。比如下列表格列出和 http://127.0.0.1:3000 比较的同源检测的结果,那跨源有什么后果呢?归纳有三:不能获取 Cookie、L...
2.8.5Django --12.1 会话跟踪之cookie
寒暄的博客
02-26 236
Django目录:https://www.jianshu.com/p/dc36f62b3dc5 cookie概述 什么是cookie Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的 Web 文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。 由于“Co...
Django(五)母版继承、Cookie、视图装饰器等
人生就是一场修行
01-04 3370
大纲一、内容回顾 补充:默认值 补充:命名空间 二、模板语言 1、母版继承 2、include 3、自定义simple_tag 三、Cookie Cookie 使用总结 四、视图 1、获取用户请求相关信息以及请求头 2、CBV和FBV用户认证装饰器二、模板语言1、母版继承母板:{% block title %}{% endblock %} 子板:{% extends "base
django 设置cookie
u014248032的博客
11-28 913
用户登录成功后送上cookies,让用户一段时间内不用再次登录,没有cookies时则自动跳转到登录页面。 登录后台: class Login(View): def get(self, req): return render(req, "login/login.html") def post(self, req): username = re...
nunjucks基础3cookie与session(晓舟报告笔记)
fly_ship的博客
07-30 360
网站服务器程序可以在浏览器中写入cookie,然后浏览器再次访问这个网站时,就会带着这个cookie。 const router = require("koa-router")(); const Koa = require("koa"); const nunjucks = require("nunjucks"); const views = require("koa-views"); const app = new Koa(); app.use(views(__dirname + '/views', {
Django怎么设置cookie和seion
最新发布
06-19
示例:```pythondefdelete_cookie_view(request):response=HttpResponse("删除cookie成功")response.delete_cookie('temp_cookie')returnresponse```###设置Session的步骤(基于引用[2]和[4]):Django的session默认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值