Python Web之flask session(小白友好)

Flask Session机制与安全防护
原创 于 2025-10-19 19:18:40 发布 · 1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask #python #后端

本文是在阅读了下面2篇作品后进行的总结

https://xz.aliyun.com/news/3201

https://www.leavesongs.com/PENETRATION/client-session-security.html

1. 什么是 Flask Session

Flask 是一个轻量级 Python Web 框架。它没有自带数据库操作,所以 session(用户会话信息)默认存储在客户端 cookie 中。
session 是用来认证用户身份的,例如判断用户是否登录,是否是管理员等。

客户端 session vs 服务端 session

  • 服务端 session(如 PHP 默认)

    • session 数据保存在服务器。

    • cookie 中只存储 session id。

    • 用户无法直接看到数据内容。

  • 客户端 session(Flask 默认)

    • session 数据直接存储在客户端 cookie 中。

    • cookie 里的数据是明文可读,通过 HMAC 签名保证不可被篡改。

    • 如果 SECRET_KEY 泄露,攻击者可以伪造任意 session

2. Flask session 的生成机制

Flask 使用 SecureCookieSessionInterface 处理 session,其核心逻辑:

2.1 代码流程

val = self.get_signing_serializer(app).dumps(dict(session))
response.set_cookie(app.session_cookie_name, val,
                    expires=expires, httponly=httponly,
                    domain=domain, path=path, secure=secure)

解释:

  1. dict(session):把 session 数据(Python 字典)转换成 dict。

  2. dumps()

    • 将 dict 序列化成 JSON 字符串。

    • 压缩(zlib)如果压缩后更短。

    • Base64 编码。

    • HMAC + SECRET_KEY 签名。

  3. set_cookie():把签名后的 session 写入客户端 cookie。

2.2 URLSafeTimedSerializer 主要方法

class URLSafeTimedSerializer(URLSafeSerializerMixin, TimedSerializer):
    default_serializer = compact_json

  • dump_payload():序列化 session 数据 → JSON → 压缩 → base64 编码。

  • dumps():在 dump_payload() 基础上计算 HMAC 签名。

  • 签名只防篡改,不能防止被读取

Flask Session 生成机制总结

session 是一个 Python 字典-序列化-压缩(可选)-Base64 编码-签名

3. Flask session 解密示例

假设有一个 session cookie:

eyJ1c2VyX2lkIjo2fQ.XA3a4A.R-ReVnWT8pkpFqM_52MabkZYIkY

3.1 简单解码方法

from itsdangerous import base64_decode

s = "eyJ1c2VyX2lkIjo2fQ.XA3a4A.R-ReVnWT8pkpFqM_52MabkZYIkY"
data, timestamp, signature = s.split('.')
payload = base64_decode(data)
print(payload)  # 输出:b'{"user_id":6}'

解释:

  • data 部分是 payload,base64 解码后得到 JSON 字符串。

  • timestamp 部分是生成时间,base64 解码后可转为整数。

  • signature 是 HMAC 签名,保证 payload 未被篡改。

3.2 P 师傅提供的脚本(支持压缩)

#!/usr/bin/env python3
import sys, zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode

def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    payload = base64_decode(payload)
    if decompress:
        payload = zlib.decompress(payload)

    return session_json_serializer.loads(payload)

if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

说明:

  • sys:用来获取命令行参数(cookie 字符串)。

  • zlib:解压缩模块,Flask 在 session 压缩后才存储。

  • b64decode:Base64 解码,把 ASCII 字符串还原成二进制。

  • session_json_serializer:Flask 内部的 JSON 序列化器,把解码后的二进制还原成 Python 对象。

  • base64_decode(来自 itsdangerous):Flask 用它做 Base64 解码,兼容 URL 安全编码。

def decryption(payload):
payload 是你传入的 Flask cookie(session 字符串),格式一般是:
eyJ1c2VyX2lkIjoxLCJpc19hZG1pbiI6ZmFsc2V9.XYZ123.abc456
三部分用 . 分隔:

payload:序列化后的 session 数据

timestamp:时间戳

sig:签名(HMAC,用于防篡改)

payload, sig = payload.rsplit(b'.', 1)
payload, timestamp = payload.rsplit(b'.', 1)
rsplit(b'.', 1):从右边拆分,拆一次得到最后的签名。

第二次拆分得到时间戳和真正的 payload 数据。

举例:
cookie = b'eyJ1c2VyX2lkIjox.XA3a4A.R-ReVnWT8pkFqM_52MabkZYIkY'
payload, sig = cookie.rsplit(b'.', 1)
# payload = b'eyJ1c2VyX2lkIjox.XA3a4A', sig = b'R-ReVnWT8pkFqM_52MabkZYIkY'
payload, timestamp = payload.rsplit(b'.', 1)
# payload = b'eyJ1c2VyX2lkIjox', timestamp = b'XA3a4A'

decompress = False
if payload.startswith(b'.'):
    payload = payload[1:]
    decompress = True
Flask 有时会 压缩 session 数据(zlib),压缩后的 payload 开头会加一个 .。

如果发现开头是 .,就去掉,并标记需要解压。

payload = base64_decode(payload)
Flask 把 session 数据做了 Base64 编码,方便存储在 cookie 中。

这里先把 Base64 转回二进制数据。

if decompress:
    payload = zlib.decompress(payload)
如果标记了压缩,就用 zlib.decompress() 解压。

解压后的 payload 就是原始 JSON 字符串。

return session_json_serializer.loads(payload)
session_json_serializer 是 Flask 内置的 JSON 解析器。

它把 JSON 字符串转换成 Python 对象(通常是字典)。

举例:
payload = b'{"user_id":1,"is_admin":false}'
session_json_serializer.loads(payload)
# 输出
{'user_id': 1, 'is_admin': False}

4. 客户端 session 安全问题

4.1 敏感信息泄露 

案例:

session['token'] = "d41d8cd98f00b204e9800998ecf8427e"

  • token 用于邮箱找回密码认证。

  • 因为 Flask session 存在客户端,攻击者可以:

    • 解密 cookie

    • 获取 token

    • 直接修改密码

4.2 验证码绕过

Flask 验证码示例:

captcha_code = ''.join(sample_chars())
session['captcha'] = captcha_code

  • 访问 /captcha 时生成图片。

  • session 中保存了验证码。

  • 解密 cookie 即可直接获取验证码,绕过验证。

4.3 Session 伪造

攻击链:

  1. 读取 session 内容:如 {"user_id":1,"is_admin":false}

  2. 获取 SECRET_KEY:通过泄露或弱随机 key。

  3. 伪造 session{"user_id":1,"is_admin":true},用其生成新的 cookie。

  4. 访问高权限接口:绕过权限验证。

示例伪造:

from itsdangerous import URLSafeTimedSerializer
from flask.sessions import session_json_serializer

secret_key = "KNOWN_SECRET_KEY"
s = URLSafeTimedSerializer(secret_key, salt='cookie-session', serializer=session_json_serializer)
cookie_value = s.dumps({"user_id":1, "is_admin": True})
print(cookie_value)

5. 类似框架问题

CodeIgniter 2.x

  • session 存储在 cookie 中,默认用 PHP serialize() + 签名。

  • 可选加密,但存在弱加密或 Mcrypt 未安装时的漏洞。

  • 可通过简单脚本破解密钥,伪造任意 session。

6. 防护建议

  1. 不要在客户端 session 中存储敏感信息

    • 不要存储权限标志或 token。

  2. 使用强随机 SECRET_KEY

    import secrets
app.secret_key = secrets.token_urlsafe(32)

  3. 优先使用服务端 session

    • Flask-Session 支持 Redis、数据库、Memcached 存储。

    • Cookie 仅保存 session_id。

  4. 安全 cookie 设置

    app.config.update(
    SESSION_COOKIE_HTTPONLY=True,
    SESSION_COOKIE_SECURE=True,
    SESSION_COOKIE_SAMESITE='Lax'
)

  5. 管理 session 生命周期

    • 设置 PERMANENT_SESSION_LIFETIME。

    • 关键操作后刷新或失效 session。

  6. 审计与监控

    • 检测异常 session 行为(频繁 IP 切换)。

    • 记录重要操作日志。

(十二)Flask重点之session
孤寒者的博客
11-20 1万+
(十二)Flask重点之session
python--Flask学习(三)Flask中的session操作
duan哥哥的博客
07-20 2512
1、什么是seesion session和cookie的作用有点类似,都是为了存储用户相关的信息。不同的是,cookie是存储在本地浏览器,而session存储在服务器。存储在服务器的数据会更加的安全,不容易被窃取。 2、配置SECRET_KEY 因为flasksession是通过加密之后放到了cookie中。所以有加密就有密钥用于解密,所以,只要用到了flasksession模块就一定要配置...
Flasksession、闪现和g对象
weixin_48183870的博客
06-27 2083
Flask 中,g对象是一个特殊的对象,用于存储每个请求的全局变量。当请求到达 Flask 应用时,g对象被创建。g对象用于存储在请求处理期间需要共享的数据。它是global的缩写,代表请求级别的全局变量。g对象在请求的整个生命周期内都是可用的,从请求到达开始,直到响应返回结束。使用g对象可以在不同的视图函数、装饰器或中间件之间共享数据。Flask 不建议直接修改request对象来存储数据,因为request对象应该只包含请求的原始数据。
pythonFlasksession使用
sysu_lluozh
02-28 8043
一、session机制 1.1 session的作用 由于http协议是一个无状态的协议,但网站基本上有登录使用的功能,这要求有状态管理,而session机制实现的就是这个功能 session基于cookie实现, 保存在服务端的键值对(形式:{随机字符串:'xxxxxx'}), 同时在浏览器中的cookie中也对应一相同的随机字符串,用来再次请求的时候验证 1.2 实现的原理 用户第一次请求后,将产生的状态信息保存在session中,可以把session当做一个容器,保存了正在使用的所有用户的状态信息,这
Flask session详细用法
热门推荐
zhangyukun555的博客
03-06 1万+
Flask session概念解释 session是基于cookie实现的,保存在服务端的键值对,形式为{随机字符串:‘xxxxxx’},同时在浏览器中的cookie中也会保存相同的随机字符串,用来再次请求时验证 注意:Flask中的session是保存在浏览器中的,默认的key是session(加密的cookie),当然也可以将其保存在数据库中 flask中有一个session对象,它允许你...
Python Flask框架从零基础入门到精通,实现web后端开发
wandertp的博客
05-30 1985
Flask路由与视图函数,模板,应用上下文等基础内容的介绍,从小白到一名合格的Flask框架使用者,本文通过具体实例对各种名词进行讲解,通俗易懂。也提供学习路径,使你完全掌握并能运用Flask框架。
Flask框架小白速成高级教程,轻松掌握Web开发
在当今的软件开发领域,Flask已经成为构建Web应用程序的重要工具之一,特别适合于初学者和小型项目。本教程将深入浅出地讲解Flask框架的各种高级用法,帮助开发者从零基础开始到能够熟练地使用Flask开发Web应用。 #...
卷积神经网络的Python实现,python卷积神经网络训练
m0_54846070的博客
08-27 793
对于想要自学Python的小伙伴,这里整理了一份系统全面的学习路线,按照这份大纲来安排学习可以少走弯路,事半功倍。第一阶段:专业核心基础阶段目标:1.熟练掌握Python的开发环境与编程核心知识2.熟练运用Python面向对象知识进行程序开发3.对Python的核心库和组件有深入理解4.熟练应用SQL语句进行数据库常用操作5.熟练运用Linux操作系统命令及环境配置6.熟练使用MySQL,掌握数据库高级操作7.能综合运用所学知识完成项目知识点:Python编程基础、Python面向对象、Python高级进阶
python卷积神经网络训练,python卷积神经网络图像
ynca67269的博客
09-18 616
用keras框架较为方便首先安装anaconda,然后通过pip安装keras以下转自wphh的博客。#coding:utf-8''' GPU run command: THEANO_FLAGS=mode=FAST_RUN,device=gpu,floatX=float32 python CPU run command: python 2016.06.06更新:这份代码是keras开发初期写的,当时keras还没有现在这么流行,文档也还没那么丰富,所以我当时写了一些
Gradio, Streamlit, Dash:AI应用开发的效率之选
最新发布
牛奶夹心巧克力
07-22 1229
本文旨在为希望快速构建AI应用的开发者提供一份清晰的指南,特别针对 Gradio、Streamlit 和 Dash 这三个流行的Python框架进行深入对比。文章将详细阐述每个框架的优点、缺点以及它们各自最适合的应用场景。通过结合代码示例,读者可以直观地理解如何使用这些工具,从而根据自身需求,无论是快速演示模型、构建数据可视化仪表盘还是开发复杂的企业级分析应用,都能做出明智的选择。本文力求通俗易懂,即使是初学者也能轻松掌握,同时又不失深度,帮助读者高效地将AI模型转化为实用的交互式应用。
Flask中的session
zheshiyangyang的博客
08-22 2340
点击“添加session”按钮,服务端会创建一个:“session["test"] = this is test”的session。点击“获取session”按钮,服务端会返回session的值,前端用console.log()打印出这个值。在这里,我们创建了一个简单的前端页面,并且添加了三个按钮,方便为下面的功能做说明。在这里我们推荐使用第二种和第三种,并且定期更新密钥,防止数据泄露。点击“删除session”按钮,服务端会删除所有session。”用来再此请求的时候验证。中的字典一样,我们可以使用。
Flask中Cookie与Session用法详解
IT之一小佬的博客
08-09 2045
Flask中Cookie与Session用法详解
flask中的session介绍
weixin_41777118的博客
07-27 1738
Flask中,session是一个用于存储特定用户会话数据的**字典对象**。它在不同请求之间保存数据。它通过**在客户端**设置一个签名的cookie,**将所有的会话数据存储在客户端**。
Flask--session
qq_25672165的博客
03-09 2437
文章目录3. flask中的session工作机制4. 操作session5. Code 3. flask中的session工作机制 flask中的session机制是:把敏感数据经过加密后放入session中,然后再把session存放到cookie中,下次请求的时候,再从浏览器发送过来的cookie中读取session,然后再从session中读取敏感数据,并进行解密,获取最终的用户数据。 flask的这种session机制,可以节省服务器的开销,因为把所有的信息都存储到了客户端(浏览器)。 安全是相
flask session_Flask干货:Flask数据交换——Session的使用
weixin_39673051的博客
11-30 686
上一次我们学习了Cookie,知道Cookie是保存在客户端的。那么有的小伙伴就问了,难道只有客户端能保存?服务器就不可以保存吗?!当然可以!Session就是另一种记录用户状态的机制。FlaskSession是基于Cookie实现的,经过加密保存在服务端的键值对(sesson[‘name’]=’value’)中。当然,在服务器的Cookie中也对应一个相同的随机字符串,用来再次请求时验证。一、...
flask教程6:cookie和session
总裁余(余登武)博客
03-29 1223
flask教程6:cookie和session
关于Flask高级_session的操作
qq_55961861的博客
08-28 541
关于Flask高级_session的操作!
Python flasksession用法
zhangvalue的博客
06-27 1万+
Flask session 概念: 程序可以把数据存储在用户会话中,用户会话是-种私有存储,默认情况下,它会保存在客户端cookie中。Flask提供了session 对 象来操作用户会话。session 是基于cookie实现, 保存在服务端的键值对(形式为 {随机字符串:‘xxxxxx’}), 同时在浏览器中的cookie中也对应一相同的随机字符串,用来再次请求的 时候验证; 注意 :Fl...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值