Tornado(cookie、XSRF、用户验证)
--------------------Cookie操作--------------------
1、设置Cookie
1、set_cookie(name,value,domain=None,expires=None,path="/")
2、参数说明:
1、name:cookie名
2、value:cookie值
3、domain:提交cookie时匹配的域名
4、path:提交cookie时匹配的路径
5、expires:cookie的有效期,可以是时间戳整数、时间元组或者datetime类型,为UTC时间
6、expires_days:cookie的有效期,天数,优先级低于expires
3、实例:
import datetime
class IndexHandler(RequestHandler):
def get(self):
self.set_cookie("n1", "v1")
self.set_cookie("n2", "v2", path="/new", expires=time.strptime("2016-11-11 23:59:59","%Y-%m-%d %H:%M:%S"))
self.set_cookie("n3", "v3", expires_days=20)
# 利用time.mktime将本地时间转换为UTC标准时间
self.set_cookie("n4", "v4", expires=time.mktime(time.strptime("2016-11-11 23:59:59","%Y-%m-%d %H:%M:%S")))
self.write("OK")
2、原理:
1、设置cookie实际就是通过设置header的Set-Cookie来实现的。
2、实例:
class IndexHandler(RequestHandler):
def get(self):
self.set_header("Set-Cookie", "n5=v5; expires=Fri, 11 Nov 2016 15:59:59 GMT; Path=/")
self.write("OK")
3、获取cookie
1、get_cookie(name, default=None)
2、参数说明:
1、name:要获取的cookie的民称
2、default:如果数据不存在,可设置默认值
3、实例:
class IndexHandler(RequestHandler):
def get(self):
n3 = self.get_cookie("n3")
self.write(n3)
4、清楚cookie
1、clear_cookie(name, path='/', domain=None):
删除名为name,并同时匹配domain和path的cookie。
2、clear_all_cookies(path='/', domain=None):
删除同时匹配domain和path的所有cookie。
3、实例:
class ClearOneCookieHandler(RequestHandler):
def get(self):
self.clear_cookie("n3")
self.write("OK")
class ClearAllCookieHandler(RequestHandler):
def get(self):
self.clear_all_cookies()
self.write("OK")
4、注意:执行清除cookie操作后,并不是立即删除了浏览器中的cookie,而是给cookie值置空,并改变其有效期使其失效。真正的删除cookie是由浏览器去清理的。
5、安全Cookie
1、Cookie是存储在客户端浏览器中的,很容易被篡改。Tornado提供了一种对Cookie进行简易加密签名的方法来防止Cookie被恶意篡改。
2、使用安全Cookie需要为应用配置一个用来给Cookie进行混淆的秘钥cookie_secret,将其传递给Application的构造函数。可以使用如下方法来生成一个随机字符串作为cookie_secret的值:
>ipython
>import base64,uuid
>base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
3、将生成的cookie_secret传入Application的构造函数:
app = tornado.web.Application(
[(r"/", IndexHandler),],
cookie_secret = "2hcicVu+TqShDpfsjMWQLZ0Mkq5NPEWSk9fi0zsSt3A="
)
4、set_secure_cookie(name, value, expires_days=30):
设置一个带签名和时间戳的cookie,防止cookie被伪造。
5、get_secure_cookie(name, value=None, max_age_days=31):
如果cookie存在且验证通过,返回cookie的值,否则返回None。max_age_day不同于expires_days,expires_days是设置浏览器中cookie的有效期,而max_age_day是过滤安全cookie的时间戳。
6、实例:
class IndexHandler(RequestHandler):
def get(self):
cookie = self.get_secure_cookie("count")
count = int(cookie) + 1 if cookie else 1
self.set_secure_cookie("count", str(count))
self.write(
'<html><head><title>Cookie计数器</title></head>'
'<body><h1>您已访问本页%d次。</h1>' % count +
'</body></html>'
)
--------------------XSRF保护--------------------
1、XSRF保护概念:
1、浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。 不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。
2、由于第三方站点没有访问cookie数据的权限(同源策略),所以可以要求每个请求包括一个特定的参数值作为令牌来匹配存储在cookie中的对应值,如果两者匹配,的应用认定请求有效。而第三方站点无法在请求中包含令牌cookie值,这就有效地防止了不可信网站发送未授权的请求。
2、开启XSRF保护:
1、要开启XSRF保护,需要在Application的构造函数中添加xsrf_cookies参数:
app = tornado.web.Application(
[(r"/", IndexHandler),],
cookie_secret = "2hcicVu+TqShDpfsjMWQLZ0Mkq5NPEWSk9fi0zsSt3A=",
xsrf_cookie = True
)
2、当这个参数被设置时,Tornado将拒绝请求参数中不包含正确的_xsrf值的POST、PUT和DELETE请求。用不带_xsrf的post请求时,报出了HTTP 403: Forbidden ('_xsrf' argument missing from POST)的错误。
3、应用
1、模板中应用
在模板中添加:{% module xsrf_form_html() %}
2、非模板中应用
1、在任意的Handler中通过获取self.xsrf_token的值来生成_xsrf并设置Cookie:
1、方法一:
class XSRFTokenHandler(RequestHandler):
"""专门用来设置_xsrf Cookie的接口"""
def get(self):
self.xsrf_token
self.write("Ok")
2、方法二:
class StaticFileHandler(tornado.web.StaticFileHandler):
"""重写StaticFileHandler,构造时触发设置_xsrf Cookie"""
def __init__(self, *args, **kwargs):
super(StaticFileHandler, self).__init__(*args, **kwargs)
self.xsrf_token
3、对于请求携带_xsrf参数,有两种方式:
1、若请求体是表单编码格式的,可以在请求体中添加_xsrf参数
//AJAX发送post请求,表单格式数据
function xsrfPost() {
var xsrf = getCookie("_xsrf");
$.post("/new", "_xsrf="+xsrf+"&key1=value1", function(data) {
alert("OK");
});
}
2、若请求体是其他格式的(如json或xml等),可以通过设置HTTP头X-XSRFToken来传递_xsrf值
$.ajax({
url: "/new",
method: "POST",
headers: {
"X-XSRFToken":xsrf,
},
data:json_data,
success:function(data) {
alert("OK");
}
})
--------------------用户验证--------------------
1、概念:
用户验证是指在收到用户请求后进行处理前先判断用户的认证状态(如登陆状态),若通过验证则正常处理,否则强制用户跳转至认证页面(如登陆页面)。
2、authenticated装饰器
1、为了使用Tornado的认证功能,需要对登录用户标记具体的处理函数。可以使用@tornado.web.authenticated装饰器完成它。当使用这个装饰器包裹一个处理方法时,Tornado将确保这个方法的主体只有在合法的用户被发现时才会调用。
2、实例:
class ProfileHandler(RequestHandler):
@tornado.web.authenticated
def get(self):
self.write("这是我的个人主页。")
3、get_current_user()方法
1、装饰器@tornado.web.authenticated的判断执行依赖于请求处理类中的self.current_user属性,如果current_user值为假(None、False、0、""等),任何GET或HEAD请求都将把访客重定向到应用设置中login_url指定的URL,而非法用户的POST请求将返回一个带有403(Forbidden)状态的HTTP响应。
2、在获取self.current_user属性的时候,tornado会调用get_current_user()方法来返回current_user的值。也就是说,验证用户的逻辑应写在get_current_user()方法中,若该方法返回非假值则验证通过,否则验证失败。
3、实例:
class ProfileHandler(RequestHandler):
def get_current_user(self):
"""在此完成用户的认证逻辑"""
user_name = self.get_argument("name", None)
return user_name
@tornado.web.authenticated
def get(self):
self.write("这是我的个人主页。")
4、login_url设置:
1、当用户验证失败时,将用户重定向到login_url上,所以还需要在Application中配置login_url。
2、实例:
class LoginHandler(RequestHandler):
def get(self):
"""在此返回登陆页面"""
self.write("登陆页面")
app = tornado.web.Application(
[
(r"/", IndexHandler),
(r"/profile", ProfileHandler),
(r"/login", LoginHandler),
],
"login_url":"/login"
)
3、在login_url后面补充的next参数就是记录的跳转至登录页面前的所在位置,所以可以使用next参数来完成登陆后的跳转。
class LoginHandler(RequestHandler):
def get(self):
"""登陆处理,完成登陆后跳转回前一页面"""
next = self.get_argument("next", "/")
self.redirect(next+"?name=logined")
Tornado(cookie、XSRF、用户验证)相关推荐
- ASP.NET与ASP.NET Core用户验证Cookie并存解决方案
在你将现有的用户登录(Sign In)站点从ASP.NET迁移至ASP.NET Core时,你将面临这样一个问题--如何让ASP.NET与ASP.NET Core用户验证Cookie并存,让ASP.N ...
- Asp.Net使用加密cookie代替session验证用户登录状态 源码分享 欢迎拍砖
小论坛地址: http://rayyu.5d6d.com/thread-9444-1-1.html 正文: 首先 session 和 cache 拥有各自的优势而存在. 他们的优劣就不在这里讨论了. ...
- tornado cookie和session
一.cookie (一).cookie运作机制 (二).设置cookie的常用方法 self.set_cookie('cookie_test','this_is_test') 默认过期时间是浏览器关闭 ...
- django 的用户验证及登录状态保持
一.用户验证功能 Django自带用户验证及登录功能,引入模块为: from django.contrib.auth import authenticate 其中方法authenticate()的接收 ...
- [转]Asp.Net Core 简单的使用加密的Cookie保存用户状态
本文转自:http://www.cnblogs.com/Joes/p/6023820.html 在以前的Asp.Net中可以用 FormsAuthentication 类的一系列方法来使用加密的Coo ...
- ASP.NET的MVC中使用Cookie做身份验证(附代码下载)
场景 ASP.NET的MVC中使用Session做身份验证(附代码下载): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/1071 ...
- php cookie突然没,PHP利用Cookie设置用户30分钟未操作自动退出功能
登陆控制器需要做的登陆成功把用户ID等信息存入cookie: $this->systemSetKey(array('name'=>$admin_info['admin_name'], 'i ...
- php登录后自动退出登录,PHP利用Cookie设置用户30分钟未操作自动退出功能
登陆控制器需要做的登陆成功把用户ID等信息存入cookie: $this->systemSetKey(array('name'=>$admin_info['admin_name'], 'i ...
- JSP 页面访问用户验证
jsp安全性问题,当别人知道某个jsp文件的网址后就可以跳过登陆页面直接访问该jsp文件了,这样无法禁止外部无权限用户的访问.本文讨论内容是通过权限验证的用户,才可以访问特定的页面. JSP 页面验证 ...
最新文章
- mysql之 表数据存放路径非datadir目录
- MPLS TE基本配置-IS-IS
- 一本比较简单易懂的中文python入门教程
- java 句柄 内存_Java内存区域学习
- python实现50行代码_50行代码实现python计算器主要功能
- C语言试题七十五之请编写函数求回文数
- java8 linq4j_Java 8仍然需要LINQ吗? 还是比LINQ更好?
- 企业为什么要建设数据分析平台?应该怎么建?
- 程序员如何接私单做SOHO一族
- 试翻译Output Cache Improvements in Orchard 1.9
- vue的登陆验证及返回登录前页面实现
- Web media radar|web媒体雷达
- Java多线程系列--“JUC集合”04之 ConcurrentHashMap
- 文本数据挖掘一般步骤
- “挂羊头卖狗肉”的宇宙学谭
- Python在数字后端中的应用(一)
- Juniper交换机收集日志
- 全封闭(FFF/FDM)3D打印机的优点
- 京东数科智能巡检机器人亮相中国数据中心设施论坛大会
- python可以开发app吗-惊呆!那些顶级App居然是用Python开发的
热门文章
- 基于matlab的自动识别谱峰的程序设计,基于matlab的自动识别谱峰的程序设计毕业论文-资源下载人人文库网...
- 如何解决 input type=“number“出现上下箭头
- AcWing 4261. 孤独的照片
- 数学思维导图怎么画?一招教你快速画好数学思维导图
- (附源码)springboot外委员工后台管理系统 毕业设计101157
- Lodop打印echarts图表
- 【自己制作数据集】制作标注并生成mask
- TCWeb使用的tablib标准
- 基于leaflet完成框选功能(不随地图缩放)并截图打印
- 五十岁评职称还需要计算机证,如今50岁,机关事业单位高级职称评审,退休年龄规定是55還是60?...