- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我正在审查在不使用任何现成中间件的情况下将 wsgi-app 实现到浏览器 session 管理的可能性和可取性。
正在考虑的一般方法是:
在浏览器和服务器之间使用 SSL。将 SSL session ID 暴露给 WSGI 或 OS.environment,用作 session ID 以启用应用程序级别的持久性和身份验证。由于如果服务器和浏览器再次握手,SSL session ID 可能会随时更改,因此我们的想法是使用 cookie 来保存生成的 SSL ID 的散列版本。如果他们握手并检测到 SSL ID 的变化(暴露在环境中的 SSL session ID 与客户端返回的 cookie 不匹配),则可以检查哈希 cookie 以查看它是否包含以前已知的 session ID,如果它那么我们应该继续当前 session 并将 cookie 中使用的 SSL session ID(并存储在后端数据库中)更新为新生成的通过握手的 SSL session ID。因此,即使 SSL session ID 在我们脚下发生变化,我们也能继续 session 。
据我所知,这个想法是让 SSL 生成 session ID,并做一些比仅依赖 cookies+hmac 来保存 session ID 更安全的事情。
我很想知道任何人对上述过程的想法。原则上这对我来说似乎很合理,但我对这种功能的经验很少。我已经为一些场景绘制了客户端和服务器以及 wsgi-app 之间的交换流程,看起来效果很好,但我不满意我已经涵盖了所有基础。
最佳答案
您可能需要考虑以下事项:
S
。包含 H(S)
的 cookie 被发送给 Alice。S
。H(S)
的 session cookie 联系您的服务器。他的 session ID 未被识别,但您的系统无论如何都会让他进入 Alice 的 session (并且可能还会将 Alice 踢出!)。解决方案是使用 HMAC 对 session ID 进行签名。但是你也可以首先使用 HMAC 的 session ID。
一些细节:
session Cookies + HMAC 已被证明是加密安全的。 HMAC 设计的目的是为了验证数据。 HMAC 背后的逻辑是合理的,并且截至目前,该协议(protocol)不存在任何攻击。
更好的是,它被证明比对底层哈希算法的攻击并不意味着对 HMAC 的攻击存在(但这并不意味着你应该使用 MD5!)。
没有理由您不想使用 HMAC。
SSL session ID 充其量对负载平衡器有用。
您永远不应该重新发明密码学。密码算法已经被(可能)数千名在该领域具有丰富经验的人审查过。
每当您觉得自己有更好的想法时,您可能会遗漏一些东西。也许你不知道!但是你应该写一篇关于你的算法的论文,并让它进行同行评审。
坚持标准。
关于python - session 管理、SSL、WSGI 和 Cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13762051/
我会尽可能地解释我正在做的事情,以获得最好的可能的建议/解决方案。这一切都是在 java 中完成的。 我的客户有一个基于 SWING 的桌面应用程序,它将使用 WebStart 加载。我被指派为用户帐
看来这个page包含 Azure CLI 支持的与 Azure API 管理相关的所有功能。但它没有展示如何使用 Azure CLI 管理用户、产品、证书、订阅和 API 等实体。 Azure CLI
我设置了一个 Hadoop 1.2.x 版本,双节点集群。第一节点(NameNode、Jobtracker)和第二节点(Secondary NameNode、Datanode、TaskTracker)
对于内容驱动的网站,设计好坏的关键是关系型数据库。在这个教程中,我们已经使用了MySQL关系型数据库管理系统(RDBMS)建立了我们的数据库。对于网站的开发者来说,MySQL是一个较受欢迎的选择,这
在尝试运行MariaDB之前,首先确定其当前状态,运行或关闭。 有三个选项用于启动和停止MariaDB – 运行mysqld(MariaDB脚本)。 运行mysqld_safe启动脚本。
我在管理界面中遇到 StackedInlines 前缀的问题。我会尝试发布所有必要的代码。 models.py(简要) ##### Base classes class BaseItem(models
我是新来的。到目前为止,我一直在使用 MVC 模型并使用基本的 session 管理模型,即在 session 中存储一个 token 并检查每个请求。 我正在尝试对lift做同样的事情,但我的 se
我在 win 服务中使用 NHiberante。有时我得到 System.ObjectDisposedException: Session is closed! Object name: 'ISess
我正在尝试使用 HtmlUnit 登录 Facebook 页面并查看其 HTML 内容。我正在尝试通过 HtmlUnit 填写登录凭据,但在单击提交按钮时我没有看到正在执行的 session 。 在
我正在为一个相当大的项目开发一个带有 reactjs 的前端,该项目有两个主要接口(interface)。主站点的前端和管理员的前端。 我应该将它们开发为两个不同的项目还是 reactjs 中的一个项
短版 我有一个使用插件基础结构的应用程序。插件具有可配置的属性,可帮助它们了解如何完成工作。插件按配置文件分组以定义如何完成任务,配置文件存储在由 DataContractSerializer 序列化
如何管理 iPhone 应用程序中的用户 session ?我在应用程序的第一页上从用户那里获取了用户名和密码。用户可以随时注销。如何像其他 Web 应用程序一样在 iPhone 应用程序中存储 se
我正在使用 Azure API 管理,其中包含第三方论坛 (Discourse) 的链接。 api管理提供的默认登录系统用于注册用户。我想知道是否可以对 api 管理和论坛使用单点登录,这样用户就不必
我正在使用 Wordpress 建立一个网站,并且我想利用它的 session 。但我没有找到任何插件,甚至文档。在我开始破解之前有什么建议或引用吗? 注意:我问的是 WP 是否以及如何使用标准 PH
我已阅读《Azure in Action》一书中的以下内容:“在 Windows Azure 中,状态服务器或进程外 session 状态提供程序,不支持” 谁能告诉我为什么不支持这个。他们在书中没有
我有一个内联表单集,我想排除一些模型对象在表单集中显示。 例如。模型 B 具有模型 A 的外键,因此它是 1:n(A 对象有许多 B 对象)关系。现在在 A 管理编辑页面上,我已经获得了 B 的内联。
我正在开发一个基于 session 的项目。我在想,与银行类似,我会创建一张支票并为用户提供阻止 session 超时的能力。 我正在考虑创建一个 setInterval 来检查需要身份验证的空白页面
我正在为一位拥有 Magento 商店的客户工作。里面塞满了产品,但这些产品的名称有点乱。他并没有坚持一种命名约定,而是多年来使用了不同的约定。因此,每当他使用“管理”->“管理产品”部分中的“名称”
我使用大约十几个 XSLT 文件来提供大量输出格式。目前,用户必须知道导出的文件格式的扩展名,例如RTF、HTML、TXT。 我还想使用参数来允许更多选项。如果我可以将元数据嵌入 XSL 文件本身,那
我已阅读《Azure in Action》一书中的以下内容:“在 Windows Azure 中,状态服务器或进程外 session 状态提供程序,不支持” 谁能告诉我为什么不支持这个。他们在书中没有
我是一名优秀的程序员,十分优秀!