Django前后端安全验证
2024-08-31 22:10:30
会话技术
关注公众号“轻松学编程”了解更多。
1、Cookie
- 客户端会话技术(数据存储在客户端)
- 以key-value的形式进行存储
- cookie的操作都是通过Response来实现的
- 典型场景
- 购物车
- 登录信息
- 支持过期时间
- Cookie清除策略
- 默认关闭浏览器时cookie自动清除
- 配置Cookie过期时间
- max-age=0 关闭就失效
- max-age=None 永久有效
- max-age = int 单位秒
- expires 过期时间,和max-age功能基本一致
- 用户登出,就是清除了cookie(令牌)
2、Session
- 服务端会话技术
- Session依赖于Cookie
- 将Session在数据库中的session_key,当作sessionid,存储在cookie中
- Session数据存储在数据库中,并且做了基本的数据安全处理(base64编码)
3、Token
- 服务端会话技术
- 相当于手动实现的session
- 值应该是唯一的
- 要通过特定算法保证唯一
- 时间
- ip
- 域名
- 网卡 mac
- 随机数
4、解决痛点
解决短连接无法保存用户状态的问题
延长了请求的生命周期
用户管理实例
- 用户注册
- 将数据存储到数据库
- 数据安全
- 密码对谁都是不透明的
- 用户登陆
- 将登陆提交过来的信息和数据库内的信息进行校验
- 返回不成功结果要刻意模糊概念
- 用户信息
- 根据用户的唯一标识,去获取用户
- 用户退出
- 清除令牌
- 清理cookie,session,或 token
- 用户注册
5、数据安全
- 策略
- 服务器的数据对任何人来说都应该是不可见的(不透明)
- 可以使用常见的摘要算法对数据进行摘要(md5,sha)
- 在所有数据验证的地方都加上安全保护措施
6、摘要算法
- hashlib
- sha
- md5
- 用来验证数据完整性(不被篡改)
- 哪怕【消息原文】被改动一丁点,【篡改版消息生成的消息摘要】都会与【原始消息所生成的消息摘要】的大相径庭
- 统一输出
- 输出默认都是128位二进制数
- 32位16进制数
- 单向不可逆
- 用来验证数据完整性(不被篡改)
7、UUID
唯一标识
纳秒级的时间
- 1ns 创建 1m个id
mac 地址
机器编码
随机数
uuid
- uuid1()
- uuid3()
- uuid4()
- uuid5()
8、常用API
生成消息摘要
def generate_password(password): #定义算法
sha = hashlib.sha512() #更新算法内容区(密码字节)
sha.update(password.encode("utf-8")) #使用算法生成摘要
return sha.hexdigest()
cookie
response.set_cookie("uname", username)
response.set_cookie("uname", username, max_age=30)
response.set_cookie("uname", username, expires=timedelta(minutes=1))
uname = request.COOKIES.get('uname',None)
response.delete_cookie("uname")- 助记
- 操作客户端唯有通过Response对象
- 方法无非get,set,delete
- 助记
session
- uname = request.session.get('uname')
- request.session['uname'] = username
- request.session.flush()
- 同时清除cookie 和 session
- del request.session['uname']- 助记
- session是存在于服务端本地的,而Request的COOKIE当中存有sessionid,因此通过Request对象去关联用户的session
- 方法无非get,set,del,flush
- 助记
token
response.set_cookie("utoken", token)
utoken = request.COOKIES.get("utoken")
后记
【后记】为了让大家能够轻松学编程,我创建了一个公众号【轻松学编程】,里面有让你快速学会编程的文章,当然也有一些干货提高你的编程水平,也有一些编程项目适合做一些课程设计等课题。
也可加我微信【1257309054】,拉你进群,大家一起交流学习。
如果文章对您有帮助,请我喝杯咖啡吧!
公众号
关注我,我们一起成长~~
最新文章
- 多线程中的锁系统(三)-WaitHandle、AutoResetEvent、ManualResetEvent
- 记录一则ORA-00054,ORA-00031解决过程
- 硕士研究生入学考试复试试卷答案.tex
- 部署samba服务之后,在客户端用挂载访问的方式,错误信息:mount: block device //192.168.1.108/mysqldata is write-protected, mounting read-only mount: cannot mount block device //192.168.1.108/mysqldata read-only
- MYSQL 免安装版(windows 7/64)
- debian8 配置使用 nfs
- ok6410按键中断编程,linux按键裸机
- c#写windows服务(转)
- 【HDU】2147 kiki's game
- zw版_Halcon图像库delphi接口文件
- systemctl
- Allegro设置十字大光标
- DSP知识
- 管理Activity,随时随地控制Activity的销毁工作
- Js 跨域CORS报错 Response for preflight has invalid HTTP status code 405
- 201521123089 《Java程序设计》第13周学习总结
- c# datatable增加列并赋值
- YARN整理
- 无用之flask学习
- Jmeter(五)录制功能