那些遇到过的问题

如何为Google App Engine实施简单会话?

7 python security cookies session google-app-engine

这是一个在App Engine上处理会话的基本类:

"""Lightweight implementation of cookie-based sessions for Google App Engine.

Classes:
Session

"""

import os
import random
import Cookie
from google.appengine.api import memcache

_COOKIE_NAME = 'app-sid'
_COOKIE_PATH = '/'
_SESSION_EXPIRE_TIME = 180 * 60


class Session(object):

    """Cookie-based session implementation using Memcached."""

    def __init__(self):
        self.sid = None
        self.key = None
        self.session = None
        cookie_str = os.environ.get('HTTP_COOKIE', '')
        self.cookie = Cookie.SimpleCookie()
        self.cookie.load(cookie_str)
        if self.cookie.get(_COOKIE_NAME):
            self.sid = self.cookie[_COOKIE_NAME].value
            self.key = 'session-' + self.sid
            self.session = memcache.get(self.key)
        if self.session:
            self._update_memcache()
        else:
            self.sid = str(random.random())[5:] + str(random.random())[5:]
            self.key = 'session-' + self.sid
            self.session = dict()
            memcache.add(self.key, self.session, _SESSION_EXPIRE_TIME)
            self.cookie[_COOKIE_NAME] = self.sid
            self.cookie[_COOKIE_NAME]['path'] = _COOKIE_PATH
            print self.cookie

    def __len__(self):
        return len(self.session)

    def __getitem__(self, key):
        if key in self.session:
            return self.session[key]
        raise KeyError(str(key))

    def __setitem__(self, key, value):
        self.session[key] = value
        self._update_memcache()

    def __delitem__(self, key):
        if key in self.session:
            del self.session[key]
            self._update_memcache()
            return None
        raise KeyError(str(key))

    def __contains__(self, item):
        try:
            i = self.__getitem__(item)
        except KeyError:
            return False
        return True

    def _update_memcache(self):
        memcache.replace(self.key, self.session, _SESSION_EXPIRE_TIME)
Run Code Online (Sandbox Code Playgroud)

我想就如何改进代码以获得更好的安全性提出一些建议.

注意:在生产版本中,它还会在数据存储区中保存会话的副本.

注意':我知道有更多完整的在线实现虽然我想了解更多关于这个主题的信息,所以请不要回答"使用那个"或"使用其他"库的问题.

Tom*_*Tom 5

以下是简化实施的建议.

您正在创建一个随机临时密钥,您可以将其用作内存缓存中的会话密钥.您注意到您也将会话存储在数据存储区中(它将具有另一个密钥).

为什么不随机化会话的数据存储区密钥,然后将其用作数据库和内存缓存的唯一密钥(如果需要)?这种简化是否会引入任何新的安全问题?

以下是为Session模型创建随机数据存储区密钥的一些代码:

# Get a random integer to use as the session's datastore ID.
# (So it can be stored in a cookie without being 'guessable'.)
random.seed();
id = None;
while None==id or Session.get_by_id( id ):
    id = random.randrange( sys.maxint );
seshKey = db.Key.from_path( 'Session', id );    
session = Session( key = seshKey );
Run Code Online (Sandbox Code Playgroud)

要从会话中获取ID(即存储在cookie中),请使用:

sid = session.key().id();
Run Code Online (Sandbox Code Playgroud)

要在从cookie中读取'sid'之后检索会话实例:

session = Session.get_by_id( sid );
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3206 次

最近记录:

12 年,6 月 前
相关归档
如何从JSON获取字符串对象而不是Unicode? 272
在Python中,是否有一种简洁的方法来比较两个文本文件的内容是否相同? 50
访问 firebase 用户的 photoURL 时出现 http 403 错误 9
BadArgumentError:带游标的_MultiQuery在ndb中需要__key__顺序 8
具有express和MongoDB的node.js中的会话生存期 7
Google数据存储区中查询的复杂性 6
这个网页有一个重定向循环asp.net mvc4 5
cloudstorage.listbucket不返回任何值 5
计数点击按钮或链接并存储在cookie中 1
如何使用Mongodb和nodejs HIPAA兼容我的应用程序? 1
难疑归档
如何检查文件是否存在而没有例外? 5290
如何在Python中小写一个字符串? 1908
在GitHub上使用https://时有没有办法跳过密码输入? 1806
方法和函数之间有什么区别? 1665
为什么模板只能在头文件中实现? 1660
在Mac上查找(并终止)进程锁定端口3000 1595
如何在Ruby on Rails迁移中重命名数据库列? 1419
编译用于高放射性环境的应用程序 1414
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
\ d效率低于[0-9] 1214