- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我注意到 cherrypy session 不需要 key 配置。相反,Pylons session :http://docs.pylonsproject.org/projects/pylons_framework/dev/sessions.html
如果我使用 session 来记住用户身份验证,我会担心安全问题。
任何人都可以解释为什么 cherrypy session 不需要 key ?或者有什么建议我应该如何安全地使用 session 来记住用户登录?
最佳答案
维护 session 状态基本上有两种不同的方式:在服务器上或在客户端上。
使用服务器端方法,您可以将 session 数据保存在文件、数据库或服务器的内存中,并为其分配一个 ID。这个 session ID 然后被发送到客户端并且通常存储在一个 cookie 中(尽管它们也可以嵌入到 URL 中)。然后对于每个请求,Web 应用程序读取并使用客户端的 session ID 从存储在服务器上的任何位置加载 session 数据。这样,客户端永远无法访问任何 session 数据,也无法篡改它,但缺点是您必须通过恶意客户端使用陈旧的 session ID 来防止 session 劫持。这是当今大多数 Web 框架和应用程序使用的模型。
另一种方法是将 session 数据完全存储在客户端的 cookie 中。这种方法的缺点是数据可以被客户端看到和篡改,因此您必须注意正确签名和加密数据以防止篡改。这就是拥有一个好的 key 发挥作用的地方。好处是您也不必担心 session 劫持。
Pylons 使用 Beaker session ,它可以配置为完全存储 session 数据 on the client side .这就是您需要 key 的原因。
CherryPy 仅在服务器上存储 session 数据,然后向用户发送一个带有 session ID 的 cookie,因此客户端永远看不到 session 数据,也无法篡改它。您可以将其配置为使用文件或仅将所有内容保存在内存中。您甚至可以连接到它并使用数据库来存储 session 数据。
就个人而言,我更喜欢 CherryPy 使用的方法,因为它与大多数网络使用的方法相同。它更容易保护,并且您可以轻松地与服务器上运行的其他应用程序共享 session 数据,而无需担心加密或 key 。
关于python - 为什么 CherryPy session 不需要 key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6719036/
我正在处理一组标记为 160 个组的 173k 点。我想通过合并最接近的(到 9 或 10 个组)来减少组/集群的数量。我搜索过 sklearn 或类似的库,但没有成功。 我猜它只是通过 knn 聚类
我有一个扁平数字列表,这些数字逻辑上以 3 为一组,其中每个三元组是 (number, __ignored, flag[0 or 1]),例如: [7,56,1, 8,0,0, 2,0,0, 6,1,
我正在使用 pipenv 来管理我的包。我想编写一个 python 脚本来调用另一个使用不同虚拟环境(VE)的 python 脚本。 如何运行使用 VE1 的 python 脚本 1 并调用另一个 p
假设我有一个文件 script.py 位于 path = "foo/bar/script.py"。我正在寻找一种在 Python 中通过函数 execute_script() 从我的主要 Python
这听起来像是谜语或笑话,但实际上我还没有找到这个问题的答案。 问题到底是什么? 我想运行 2 个脚本。在第一个脚本中,我调用另一个脚本,但我希望它们继续并行,而不是在两个单独的线程中。主要是我不希望第
我有一个带有 python 2.5.5 的软件。我想发送一个命令,该命令将在 python 2.7.5 中启动一个脚本,然后继续执行该脚本。 我试过用 #!python2.7.5 和http://re
我在 python 命令行(使用 python 2.7)中,并尝试运行 Python 脚本。我的操作系统是 Windows 7。我已将我的目录设置为包含我所有脚本的文件夹,使用: os.chdir("
剧透:部分解决(见最后)。 以下是使用 Python 嵌入的代码示例: #include int main(int argc, char** argv) { Py_SetPythonHome
假设我有以下列表,对应于及时的股票价格: prices = [1, 3, 7, 10, 9, 8, 5, 3, 6, 8, 12, 9, 6, 10, 13, 8, 4, 11] 我想确定以下总体上最
所以我试图在选择某个单选按钮时更改此框架的背景。 我的框架位于一个类中,并且单选按钮的功能位于该类之外。 (这样我就可以在所有其他框架上调用它们。) 问题是每当我选择单选按钮时都会出现以下错误: co
我正在尝试将字符串与 python 中的正则表达式进行比较,如下所示, #!/usr/bin/env python3 import re str1 = "Expecting property name
考虑以下原型(prototype) Boost.Python 模块,该模块从单独的 C++ 头文件中引入类“D”。 /* file: a/b.cpp */ BOOST_PYTHON_MODULE(c)
如何编写一个程序来“识别函数调用的行号?” python 检查模块提供了定位行号的选项,但是, def di(): return inspect.currentframe().f_back.f_l
我已经使用 macports 安装了 Python 2.7,并且由于我的 $PATH 变量,这就是我输入 $ python 时得到的变量。然而,virtualenv 默认使用 Python 2.6,除
我只想问如何加快 python 上的 re.search 速度。 我有一个很长的字符串行,长度为 176861(即带有一些符号的字母数字字符),我使用此函数测试了该行以进行研究: def getExe
list1= [u'%app%%General%%Council%', u'%people%', u'%people%%Regional%%Council%%Mandate%', u'%ppp%%Ge
这个问题在这里已经有了答案: Is it Pythonic to use list comprehensions for just side effects? (7 个答案) 关闭 4 个月前。 告
我想用 Python 将两个列表组合成一个列表,方法如下: a = [1,1,1,2,2,2,3,3,3,3] b= ["Sun", "is", "bright", "June","and" ,"Ju
我正在运行带有最新 Boost 发行版 (1.55.0) 的 Mac OS X 10.8.4 (Darwin 12.4.0)。我正在按照说明 here构建包含在我的发行版中的教程 Boost-Pyth
学习 Python,我正在尝试制作一个没有任何第 3 方库的网络抓取工具,这样过程对我来说并没有简化,而且我知道我在做什么。我浏览了一些在线资源,但所有这些都让我对某些事情感到困惑。 html 看起来
我是一名优秀的程序员,十分优秀!