tornado 3.0.1 中关于cookie和secure cookie的那点事儿

最新推荐文章于 2023-03-05 19:00:00 发布
最新推荐文章于 2023-03-05 19:00:00 发布
阅读量1.3w 收藏 2
点赞数 1
分类专栏: Tornado 文章标签: tornado python Cookie 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littlethunder/article/details/8933618
版权

        cookie是附加在http请求中的,tornado默认的set_cookie和get_cookie方法是明文不加密传输的,而set_secure_cookie和get_secure_cookie是明文加密传输的。代码见下:

import tornado.web
import tornado.ioloop

from tornado.options import define,options,parse_command_line
define('port',default=8888,help='run on the port',type=int)

class MainHandler(tornado.web.RequestHandler):
	def get(self):
		if not self.get_secure_cookie('username'):
			self.set_secure_cookie('username','littlethunder')
			self.write('just set your cookie')
		else:
			a=self.get_secure_cookie('username')
			print(a)
			self.write('you have cookie before')

def main():
	parse_command_line()
	app=tornado.web.Application(
			[(r'/',MainHandler)],
				cookie_secret='abcde'
			)
	app.listen(options.port)
	tornado.ioloop.IOLoop.instance().start()

if __name__=='__main__':
	main()


        通过浏览器可以看到效果如下:


        如果使用set_secure_cookie和get_secure_cookie方法,那么必须在tornado.web.Application中设置cookie_secret参数,’abcd'只是我测试写的,生产环境下可以用uuid生成一个随机字符串来用,但使用过程中要保证这个字符串恒定。 如果要用set_cookie和get_cookie方法,则只需把上面secure去掉,把cookie_secret参数也去掉即可,cookie就不截图了,是明文的。

        最后总结一些cookie和secure_cookie的区别:cookie是基于session的,即打开浏览器设置cookie后,只要不关闭浏览器cookie会一直保存,关闭浏览器后cookie删除,其实就是保存在浏览器运行进程的那块内存中。secure_cookie是保存在硬盘中的cookie,过期时间为一个月,所以一旦设置secure_cookie后,不论浏览器关闭与否,只要不清空cookie,这个值就一直保存直到cookie过期失效。


转载请注明:转自 http://blog.csdn.net/littlethunder/article/details/8933618

littlethunder
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tornadotornado路由系统以及加密cookie在项目的使用详解
m0_71592416的博客
12-14 224
在web框架,路由表的任何项都是一个元组,每个元组都包含模式和处理程序。当httpserver收到http请求时,服务器从收到的请求解析url路径(在http协议开始行),然后顺序遍历路由表。如果url路径可以匹配模式,则http请求将发送到web应用程序的相应处理程序进行处理。由于url路由机制,web应用程序开发人员不必处理复杂的http服务器层代码,只需编写web应用程序层(处理程序)的逻辑即可。Tornado的每个url都对应一个类。步骤1:执行脚本并侦听端口8080。
cookie-twist:Java安全cookie,带有签名的转折
05-16
您是否听说过Tornado Web框架的安全cookie处理? 最后有个转折! >▽ 甚至从早期发行版开始,就不仅仅通过对Cookie的值进行设置cookie的,以防止伪造。 cookie-twist库旨在通过构成一个普通的旧对象在Java...
tornadocookiesecure cookie
weixin_33716154的博客
01-08 203
tornado里面有关几个cookie的处理,在web.py文件里。 get_cookie, set_cookie普通的设置cookie, clear_cookie, clear_all_cookies是删除cookie。 还有两个是 get_secure_cookie, set_secure_cookie,这两个的功能是能够防止用户的cookie被伪造。 先看看函数处理方法。 看 set_sec...
tornado 8、用户登录验证 secure_cookie
心之所向
08-20 9702
一、介绍  目前大多数服务器判断用户是否登录一般通过session机制,Tornado 通过 set_secure_cookie 和 get_secure_cookie 方法直接支持了这种功能。原理类似于session,只不过session是服务器自动生成一个sessionID存储在cookie里,而tornado需要我们手工设cookie。然后通过self.current_user的重载函数就可以
TornadoCookie设置
weixin_30820077的博客
09-01 536
Tornadocookie分为两种--普通cookie和安全cookie 普通cookie 1.创建cookie 原型 self.set_cookie(name, value, domain=None,expires=None, path="/", expires_days=None, **kwargs 参数解释 参数名 意义 name 创建cookie的名称 va...
tornado设置cookie和seesion
微信号:RunsenLiu
05-08 1212
请求过程 开始是get请求,因为没有cookie,返回预登录表单 提交时post同时设置了cookie 以后访问该路由都是登录的状态 当删除cookie又回到没又设置的状态 但是cookie的信息明显出现,应该要加密 只需要加set_cookie改为set_secure_cookie ...
剖析Python的Tornado框架session支持的实现代码
12-23
tornado 里面没有 session?不,当然有~我知道 github 上肯定有人帮我写好了~... 首先可以注意到,这里定义了一个新的 Application 类,继承于 tornado.web.Application, 在该类的初始化方法,设定了应用参数 settin
tornado文文档
10-01
tornado 官方文档文翻译版本,epub格式,可在kindle,掌阅等平台观看。
Introduction to tornado文教程.epub
01-22
Introduction to tornado文教程,介绍tornado文资料,难得的好书,简单通俗,实用的手册
tornado之安全cookie
youhebuke225的博客
01-06 514
博客参考 import tornado.ioloop import tornado.web class MainHandler(tornado.web.RequestHandler): def get(self): # 获取cookie cookie = self.get_secure_cookie("count") print(cookie) count = int(cookie) + 1 if cookie else 1
tornado安全应用之cookie
dianjie9145的博客
01-03 177
目前大多数服务器判断用户是否登录一般通过session机制,Tornado通过set_secure_cookie和get_secure_cookie方法直接支持了这种功能。原理类似于session,只不过session是服务器自动生成一个sessionID存储在cookie里,而tornado需要我们手工设cookie。然后通过self.current_user的重载函数就可以...
Python:Tornado 第二章:实战演练:开发Tornado网站:第七节:安全Cookie机制
weixin_34337265的博客
10-08 79
上一篇文章:Python:Tornado 第二章:实战演练:开发Tornado网站:第六节:异步与协程化下一篇文章:Python:Tornado 第二章:实战演练:开发Tornado网站:第八节:用户身份认证 Cookie是很多网站为了辨别用户的身份而存储在用户本地终端(Client Side)d的数据,在Tornado使用Reque...
tornado cookiecookie安全
progression的博客
05-08 1224
安全跨站伪造请求 防范 跨站伪造请求 (Cross-site request forgery,简称 CSRF 或 XSRF)。 CSRF 的意思简单来说就是,攻击者伪造真实用户来发送请求。 举例来说,假设某个银行网站有这样的 URL: http://bank.example.com/withdraw?amount=1000000&for=Eve 当这个银行网站的用户访问该 URL 时,
Python 提示:Exception: You must define the ‘cookie_secret‘ setting in your application to use secure c
zhouzhiwengang的专栏
01-03 756
问题环境说明: Python3 基于Tornado(Web 非阻塞式开源服务器框架) 设置Cookie加密提示如下错误信息:Exception: You must define the 'cookie_secret' setting in your application to use secure cookies 大致意思:设置cookie 加密,必须设置cookie 加密凭证 我发生错误的原因在于:在配置tornado.web.Application 路由地址配置是,忘记添加cookie_secr
[护网杯 2018]easy_tornado 1(STTI模板注入+Tornado的secret_cookie
Home to come
08-19 1416
本文为个人刷题记录,不记录完整步骤,主要记录比较有感触的知识点 SSTI注入 参考:SSTI完全学习 SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言
被问出花了的 Cookie、CSRF
javagty6778的博客
03-05 321
我们知道 http 是无状态的,也就是说用户登录后进行其他操作时服务端无法知道用户是否已登录。有机灵的小伙伴很快想到,把用户登录信息存起来后面的接口都带上不就可以了?但 Cookie 出现前浏览器端还没有本地存储方法,JS 在强的变量也抵不过浏览器的一次刷新。就这样Cookie\color{red}{ Cookie }Cookie 亮相了。
Tornado 之 authenticated 和 session 简单登录 (2/3)
走在搬砖的路上!
05-07 378
1.登录检查(装饰器的使用) 我们登录的时候需要验证,但是如果有很多地方需要验证,这个时候就会出现很多重复代码的情况,这个时候我们需要一个不改变函数运行,又能给函数加上验证过程方法,很明显,我们可以使用装饰器来达到这个功能,代码如下: def auth(fun): def wrapper(self,*args,**kwargs): id = self.get_secure_cookie('ID') if id: return f...
django配置-开发环境配置SESSION_COOKIE_SECURE = False 解决react登录秒退问题
西京刀客
10-08 1328
django配置-SESSION_COOKIE_SECURE = True 官方参考:https://docs.djangoproject.com/en/dev/topics/security/
tornado 获取所有cookie
最新发布
07-29
要在Tornado获取所有cookie,你可以使用`RequestHandler`类的`get_cookie`方法。这个方法可以接受一个可选的参数`name`,如果提供了`name`参数,它将返回指定名称的cookie值,否则它会返回一个字典,包含所有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值