Flask --(15) Flask 和 Django 里面的 secret_key 设置有什么用

最新推荐文章于 2024-04-28 12:17:03 发布
最新推荐文章于 2024-04-28 12:17:03 发布
阅读量3.7k 收藏 5
点赞数 1
分类专栏: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Enjolras_fuu/article/details/82152834
版权

Flask 和 Django 里面的 secret_key 设置有什么用

来源:
https://segmentfault.com/q/1010000007295395

问题:在 flask 与 Django 的文档中都发现需要配置 secret_key
1. 这种 secret_key 有什么用吗?
2. 如果暴露它会产生哪些安全风险?

jtr109

有用的.

引用一段 Flask Web Development 中的内容:

SECRET_KEY 配置变量是通用密钥, 可在 Flask 和多个第三方扩展中使用. 如其名所示, 加密的强度取决于变量值的机密度. 不同的程序要使用不同的密钥, 而且要保证其他人不知道你所用的字符串.

SECRET_KEY 的作用主要是提供一个值做各种 HASH, 我没有实际研究过源码, 不同框架和第三方库的功能也不尽相同, 我不能给出准确的答案, 但是主要的作用应该是在其加密过程中作为算法的一个参数(salt 或其他). 所以这个值的复杂度也就影响到了数据传输和存储时的复杂度.

另外, 考虑到安全性, 这个密钥是不建议存储在你的程序中的. 最好的方法是存储在你的系统环境变量中, 通过 os.getenv(key, default=None) 获得.

Knthony

用来做一些模块的hash

>grep -Inr SECRET_KEY *
conf/global_settings.py:255:SECRET_KEY = ''
conf/project_template/settings.py:61:SECRET_KEY = ''
contrib/auth/tokens.py:54:        hash = sha_constructor(settings.SECRET_KEY + unicode(user.id) +
contrib/comments/forms.py:86:        info = (content_type, object_pk, timestamp, settings.SECRET_KEY)
contrib/formtools/utils.py:15:    order, pickles the result with the SECRET_KEY setting, then takes an md5
contrib/formtools/utils.py:32:    data.append(settings.SECRET_KEY)
contrib/messages/storage/cookie.py:112:        SECRET_KEY, modified to make it unique for the present purpose.
contrib/messages/storage/cookie.py:114:        key = 'django.contrib.messages' + settings.SECRET_KEY
contrib/sessions/backends/base.py:89:        pickled_md5 = md5_constructor(pickled + settings.SECRET_KEY).hexdigest()
contrib/sessions/backends/base.py:95:        if md5_constructor(pickled + settings.SECRET_KEY).hexdigest() != tamper_check:
contrib/sessions/backends/base.py:134:        # Use settings.SECRET_KEY as added salt.
contrib/sessions/backends/base.py:143:                       settings.SECRET_KEY)).hexdigest()
contrib/sessions/models.py:16:        pickled_md5 = md5_constructor(pickled + settings.SECRET_KEY).hexdigest()
contrib/sessions/models.py:59:        if md5_constructor(pickled + settings.SECRET_KEY).hexdigest() != tamper_check:
core/management/commands/startproject.py:32:        # Create a random SECRET_KEY hash, and put it in the main settings.
core/management/commands/startproject.py:37:        settings_contents = re.sub(r"(?<=SECRET_KEY = ')'", secret_key + "'", settings_contents)
middleware/csrf.py:38:                % (randrange(0, _MAX_CSRF_KEY), settings.SECRET_KEY)).hexdigest()
middleware/csrf.py:41:    return md5_constructor(settings.SECRET_KEY + session_id).hexdigest()
feiyy404
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python - Django 框架 - 设置SECRET_KEY
学无止境
07-13 3097
请确保将’your-secret-key’替换为自己的实际密钥。这种方法简单直接,但在版本控制系统中共享代码时存在风险,因为密钥可以被他人看到。
flask设置cookie
qq_42307546的博客
04-02 427
解释: 当系统提供的过滤器满足不了需求的时候,需要自定义自定义过滤器有两种格式:1.先定义好函数,再将函数添加到系统默认的过滤器列表中def 函数名: passapp.add_template_filter(函数名,‘过滤器名字’)2.定义函数的时候,直接使用系统过滤器进行装饰@app . template_filter('过滤器名字') def 函数名() : pass案例:1.获取列表偶数和2.反转列表。
flaskSECRET_KEY的配置
热门推荐
qq_33722246的博客
04-04 1万+
如果遇到了 Must provide secret_key to use csrf错误提醒,原因就是没有设置secret_key 如在config.py文件配置: class Config(object): SECRET_KEY = "EjpNVSNQTyGi1VvWECj9TvC/+kq3oujee2kTfQUs8yCM6xX9Yjq52v54g+HVoknA" 操作系统可以基于一个密...
Flask生成secret_key
最新发布
nnjy_1993的博客
04-28 264
【代码】Flask生成secret_key
详解Python的Flask框架中生成SECRET_KEY密钥的方法
12-24
引子 如果遇到了 Must provide secret_key to use csrf错误提醒,原因就是没有设置secret_key ,在代码中加上 app.config[‘SECRET_KEY‘]=‘xxx‘ SECRET_KEY最好不要写在代码中。 最好设置一个config.py文件,从中读取该内容 config.py CSRF_ENABLED = True SECRET_KEY = ‘you-will-never-guess‘ app.py app.config.from_object(‘config‘) 这样就可以防止csrf了。 嗯,接下来我们就来说说这个SECR
django setting.py中的SECRET_KEY
西京刀客
09-19 2317
当您使用 创建一个新的 Django 项目startproject时,该 settings.py文件会自动生成并获取一个随机 SECRET_KEY值。该值是保护签名数据的关键——确保其安全至关重要,否则攻击者可以使用它来生成自己的签名值。
Python编程:使用os.urandom生成Flask的秘钥SECRET_KEY
彭世瑜的博客
05-09 3183
Flask文档也提供了一种方式。
工具栏叠加层,用于调试Flask应用程序-Python开发
05-25
Flask调试工具栏这是Flask应用程序出色的django-debug-toolbar的端口。 安装使用pip安装很简单:$ pip install flask-...app.debug = True#设置一个'SECRET_KEY'以启用Flask会话cookie app.config ['SECRET_KEY'] ='
qingcloud-sdk-python-master_qingcloudapi_qingcloudSDK使用_
10-03
在实际使用中,推荐将QingCloud SDK与其他Python框架(如FlaskDjango)结合,构建自动化运维工具或者管理系统。同时,为了安全起见,应该避免在代码中硬编码访问凭证,而是使用环境变量或配置文件。 通过以上...
python之第三方库flask(一)--初识flask(csdn)————程序.pdf
12-03
**Flask简介** Flask是Python编程语言中的一个轻量级Web应用框架,被誉为微框架,因为它具有简洁、高效的特性。它由Armin Ronacher创建,是Python三大Web框架之...了解并熟练使用这些配置项有助于优化和管理Flask应用。
Python-Marmir把输入的Python数据结构转换为电子表单
08-10
在实际应用中,Marmir可以与FlaskDjango等Python Web框架结合使用,创建出高度可定制的表单应用。比如,你可以利用Flask的模板引擎来渲染Marmir生成的表单,然后通过Flask的路由处理表单的提交。 ```python from ...
Python-即时通讯Python实现web版多人聊天室
08-10
在Python中,我们可以使用Web框架如FlaskDjango来简化开发过程。 ### 二、Flask框架 Flask是一款轻量级的Python Web框架,适合快速开发小型应用。在多人聊天室项目中,我们将用Flask处理HTTP请求,提供动态网页,...
Python-pythonjwsJSONWeb签名python实现
08-10
在实际项目中,你可以结合其他库,如FlaskDjango,将Python-jws应用于用户登录验证。创建一个JWT并将其存储在用户的cookie或HTTP头中,然后在每次请求时验证该JWT,以确定用户的身份和权限。 通过了解和使用...
都说Djnago框架重,那就让哥用15行代码写个django web程序.pdf
11-27
- 配置Django设置,包括调试状态(DEBUG)、密钥SECRET_KEY)以及URL根目录配置(ROOT_URLCONF)。 - 定义一个视图函数`home`,用于处理HTTP请求并返回响应。 - 设置URL模式,将所有请求映射到`home`视图函数。...
Python库 | flickr_api_dlebech-0.6-py2-none-any.whl
02-16
在实际开发中,`flickr_api_dlebech`库的使用往往结合其他Python库,如`requests`用于网络请求,`PIL`或`opencv-python`处理图像,以及`Flask`或`Django`构建Web应用。这样,我们可以构建出功能强大的Flickr相关应用...
heroku-try-file-upload:尝试使用Heroku上传文件
05-14
在Heroku上,你还需要确保你的环境变量中包含了所有必要的访问凭证,例如AWS的`ACCESS_KEY_ID`和`SECRET_ACCESS_KEY`。这些可以通过Heroku的设置界面或者使用`heroku config:set`命令添加。 此外,考虑到Heroku的...
flasksecret_key的作用
weixin_30399871的博客
04-09 2028
https://segmentfault.com/q/1010000007295395 转载于:https://www.cnblogs.com/fengff/p/8761023.html
flask使用form表单报错:“KeyError: 'A secret key is required to use CSRF.'”
Darkman_EX的博客
12-24 4657
flask使用form表单报错:“KeyError: ‘A secret key is required to use CSRF.’” 报错详情: KeyError: 'A secret key is required to use CSRF.' Traceback (most recent call last) FFile &amp;quot;F:\Projects\flask_env\lib\site-pac...
Python Flask框架学习笔记
且听风呤tmj的博客
06-18 930
flask是一款非常流行的Python Web框架,出生于2010年,作者是Armin Ronacher,本来这个项目只是作者在愚人节的一个玩笑,后来由于非常受欢迎,进而成为一个正式的项目。flask自2010年发布第一个版本以来,大受欢迎,深得开发者的喜爱~......................................................................................................
Python设置session超时时间
06-02
在使用 Python 实现 Web 应用程序时,可以使用 FlaskDjango 等框架来设置 session 的超时时间。 以 Flask 为例,可以通过以下代码来设置 session 的超时时间: ```python from flask import Flask, session ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值