Session交互、token、CSRF、算法

最新推荐文章于 2024-03-30 15:43:51 发布
最新推荐文章于 2024-03-30 15:43:51 发布
阅读量182 收藏
点赞数
文章标签: python django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41595727/article/details/115641444
版权

session交互:

  • 服务端会话技术
  • 数据存储在服务器中
  • 默认Session存储在内存中
  • Django中默认会把Session持久化到数据库中
  • Django中Session的默认过期时间时14天
  • 主键是字符串、数据是使用了数据安全
    • 使用的base64
    • 在前部添加了一个混淆字符串
  • Session依赖于Cookie
    • get(key, default=None) 根据键获取会话的值
    • clear() 清除所有会话
    • flush() 删除当前的会话数据并删除会话的cookie
    • delete request[‘sission_id’]删除会话
    • session.session_key 获取session的key
username = request.session.get['username'] #获取session
request.session['username'] = username	#给session赋值
del request.session['username']	#删除指定session
request.session.flush() #删除所有sission、cookie

token

  • 服务端会话技术

  • 自定义的session

  • #手写生成token
def generate_token(username, password):
    c_time = time.ctime()
    hashlib.new("md5", (username + password + c_time).encode("utf-8")).dexdigest()

  • pycham接口测试工具 tools->httpclient->test Restful web service

  • Cookie和Session,Token对比

    • Cookie使用更简洁,服务器压力更小,数据不是很安全
    • Session服务器要维护Session,相对安全
    • Token拥有Session的所有优点,自己维护略微麻烦,支持更多终端

CSRF

  • 防跨站攻击

  • 防止恶意注册,确保客户端是我们自己的客户端

  • 使用了cookie中csrftoken进行验证,传输

  • 服务器发送给客户端,客户端将cookie获取过来,还要进行编码转换(数据安全)

  • 如何实现?

    • 在我们存在csrf_token标签的页面中,响应会自动设置一个cookie,csrftoken
    • 当我们提交时,会自动验证csrftoken
    • 验证通过,正常执行以后流程,验证不通过,返回403

  • csrf豁免 添加装饰器

    @csrf_exempt
def login(request):
    pass

算法

  • 编码解码

    • Base64
    • urlencode

  • 摘要算法,指纹算法,杂凑算法

    • MD5,SHA
      • MD5默认是128位的二进制
      • 32位的十六进制
      • 32位的Unicode
    • 单项不可逆的
    • 不管输入多长,输出都是固定长度
    • 只要输入有任意的变更,输出都会发生巨大的变化

  • 加密算法

    • 对称加密
      • 一把钥匙
      • DES,AES
      • 加密解密效率高
      • 密钥一旦丢失所有数据都会受到极大影响
    • 非对称加密
      • 两把钥匙
      • 公钥加密私钥解密或私钥加密公钥解密
      • RSA,PGP
      • 安全性最高
      • 算法复杂,需要时间空间都比较大
成长中的码农Mr.Yellow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
meituan交互式系统项目浅析(1) session 模块
KujyouRuri的博客
06-16 256
项目简介: 本项目主要用于互联网电商企业中,使用Spark技术开发的大数据统计分析平台,对电商网站的各种用户行为(访问行 为、购物行为、广告点击行为等)进行复杂的分析。用统计分析出来的数据,辅助公司中的PM(产品经理)、数据分析师以及管理人员分析现有产品的情况,并根据用户行为分析结果持续改进产品的设计,以及调整公司的战略和业务。最终达到用大数据技术来帮助提升公司的业绩、营业额以及市场占有率的目标。 项目主要采用目前大数据领域较为流行的Spark技术堆栈。采用了Spark技术生态栈中最常用的
Cookie、SessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
推荐系统中的常用算法——基于Session的推荐
null的专栏
10-16 2235
1. 概述
Session详解,学习Session,这篇文章就够了(包含底层分析和使用)
最新发布
2201_75604341的博客
03-30 792
三个工作日收到了offer,头条面试体验还是很棒的,这次的头条面试好像每面技术都问了我算法,然后就是中间件、MySQL、Redis、Kafka、网络等等。第一个是算法关于算法,我觉得最好的是刷题,作死的刷的,多做多练习,加上自己的理解,还是比较容易拿下的。而且,我貌似是将《算法刷题LeetCode中文版》、《算法的乐趣》大概都过了一遍,尤其是这本。
csrf攻击原理与解决方法_CSRF攻击防御原理
weixin_39625987的博客
11-28 265
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存...
接口测试提取csrf_tokensession
weixin_30918415的博客
06-20 1445
在接口测试过程中,有时在登录接口或其他一些接口会有csrf_token请求参数的校验,但是获取可能不是那么简单, 本人在postman和jmeter中尝试找到了响应的方法,特在此进行分享,请见者多多交流指教! 一、Jmerter中获取csrf_tokensession 1、Jmeter中如果要获取response headers的session,也可以通过正则提取器。 ...
session cookie OAuth2.0 加密算法分类和常用的算法
a754315344的博客
03-13 721
session cookie OAuth2.0 加密算法分类和常用的算法 session和cookie 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个...
彻底理解cookie,sessiontoken的使用及原理
10-16
主要介绍了彻底理解cookie,sessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
qixinbao token算法
12-20
qixinbaoAPP token加密和解密算法
创建token令牌的算法示例
12-30
这是一个token的示例,众所周知,token是用于后台服务器认证浏览器的一种技术,它弥补了cookie对数据大小限制和安全性问题
session vs token 使用特性.md
03-15
sessiontoken 特性,让你更加了解 sessiontoken ,更合理的 使用 sessiontoken
【安全】(二)Djangocsrf防御
财迷的博客
02-28 1253
【安全】(二)Djangocsrf防御
Django @csrf_exempt不能在类视图中工作(Django @csrf_exempt not working in class View)
amy6262的博客
08-21 1191
我在Django 1.9中有一个使用SessionMiddleware的应用程序。我想在同一个项目中为这个应用程序创建一个API,但是在做一个POST请求时,它不能使用@csrf_exempt注释。 settings.py MIDDLEWARE_CLASSES = [ 'corsheaders.middleware.CorsMiddleware', 'djan...
csrf跨站请求
记录学习ing
06-04 294
钓鱼网站 我搭建一个跟正规网站一模一样的界面(中国银行) 用户不小心进入到了我们的网站,用户给某个人打钱 打钱的操作确确实实是提交给了中国银行的系统,用户的钱也确确实实减少了 但是唯一不同的时候打钱的账户不适用户想要打的账户变成了一个莫名其妙的账户内部本质 我们在钓鱼网站的页面 针对对方账户 只给用户提供一个没有name属性的普通input框 然后我们在内部隐藏一个已经写好name和value的input框如何规避上述问题 csrf跨站请求伪造校验
可扩容分布式session方案
weixin_34203426的博客
06-19 100
分布式session有以下几种方案: 1. 基于nfs(net filesystem)的session共享 将共享服务器目录mount各服务器的本地session目录,session读写受共享服务器io限制,不能满足高并发。 2. 基于关系数据库的session共享 这种方案普遍使用。使用关系数据库存储session数据,对于mysql数据库,建议使用heap引擎。 这种方案性能取决于...
JWT 加密
T525174893的博客
04-26 533
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
Ajax post error (400 Bad Request)
JUDGE_MENT的专栏
01-22 700
最近使用Flask,用Ajax向后端发请求,Get没有错误,但是Post的话无法跑通,提示400 Bad Request,使用Postman之后,提示The CSRF token is missing. 说明是CSRF的问题,阻止了Request,我开始以为自带的Flask没有开启CSRF,后来想起我是Cookiecutter部署的Flask,已经默认开启了CSRF。 因此,解决办法就是: 在header中增加: <meta name="csrf-token" content="{{ csrf_
django ajax jquery csrf_exempt 设置favicon.ico
weixin_43292547的博客
08-23 445
响应ajax请求的views方法需要加上@csrf_exempt注解,否则post请求报错,get可以。
CSRF 攻击的应对之道
zhengjunweimail的专栏
09-10 1189
CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007
java CSRFToken csrf的设置 示例代码
07-14
session.setAttribute(CSRF_TOKEN_SESSION_ATTR, csrfToken); } public static boolean isValidCSRFToken(HttpServletRequest request) { HttpSession session = request.getSession(false); String csrfToken...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值