gpt4 book ai didi

python - session 管理、SSL、WSGI 和 Cookie

转载 作者:太空宇宙 更新时间:2023-11-03 13:18:32 24 4
gpt4 key购买 nike

我正在审查在不使用任何现成中间件的情况下将 wsgi-app 实现到浏览器 session 管理的可能性和可取性。

正在考虑的一般方法是:

在浏览器和服务器之间使用 SSL。将 SSL session ID 暴露给 WSGI 或 OS.environment,用作 session ID 以启用应用程序级别的持久性和身份验证。由于如果服务器和浏览器再次握手,SSL session ID 可能会随时更改,因此我们的想法是使用 cookie 来保存生成的 SSL ID 的散列版本。如果他们握手并检测到 SSL ID 的变化(暴露在环境中的 SSL session ID 与客户端返回的 cookie 不匹配),则可以检查哈希 cookie 以查看它是否包含以前已知的 session ID,如果它那么我们应该继续当前 session 并将 cookie 中使用的 SSL session ID(并存储在后端数据库中)更新为新生成的通过握手的 SSL session ID。因此,即使 SSL session ID 在我们脚下发生变化,我们也能继续 session 。

据我所知,这个想法是让 SSL 生成 session ID,并做一些比仅依赖 cookies+hmac 来保存 session ID 更安全的事情。

我很想知道任何人对上述过程的想法。原则上这对我来说似乎很合理,但我对这种功能的经验很少。我已经为一些场景绘制了客户端和服务器以及 wsgi-app 之间的交换流程,看起来效果很好,但我不满意我已经涵盖了所有基础。

最佳答案

你的协议(protocol)有什么问题

您可能需要考虑以下事项:

  1. Alice 联系您的服务器并获得一个 SSL session ID S。包含 H(S) 的 cookie 被发送给 Alice。
  2. Bob 正在窃听交流。 SSL session ID 未加密,因此他可以读取 S
  3. Bob 使用设置为 H(S) 的 session cookie 联系您的服务器。他的 session ID 未被识别,但您的系统无论如何都会让他进入 Alice 的 session (并且可能还会将 Alice 踢出!)。

解决方案是使用 HMAC 对 session ID 进行签名。但是你也可以首先使用 HMAC 的 session ID。


一些细节:

  • 要知道他应该发送的 Cookie 的名称,Bob 可以联系您的服务器。
  • Bob 可以做同样的事情来了解您正在使用的哈希算法

HMAC 的优点

session Cookies + HMAC 已被证明是加密安全的。 HMAC 设计的目的是为了验证数据。 HMAC 背后的逻辑是合理的,并且截至目前,该协议(protocol)不存在任何攻击。

更好的是,它被证明比对底层哈希算法的攻击并不意味着对 HMAC 的攻击存在(但这并不意味着你应该使用 MD5!)。

没有理由您不想使用 HMAC。


SSL session ID 充其量对负载平衡器有用。

永远不要实现自己的密码学

您永远不应该重新发明密码学。密码算法已经被(可能)数千名在该领域具有丰富经验的人审查过。

每当您觉得自己有更好的想法时,您可能会遗漏一些东西。也许你不知道!但是你应该写一篇关于你的算法的论文,并让它进行同行评审。

坚持标准。

关于python - session 管理、SSL、WSGI 和 Cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13762051/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com