通过redis的seesion对cookie信息加密  --- 防止cookie记录的用户信息泄露

import tornado.ioloop

import tornado.web

from data.table_1 import User

from tornado.web import authenticated  # 装饰器判断是否登录,否者就跳转到登陆页面。通过application配置跳转路径

from pycket.session import SessionMixin  # 设置redis加密cookie的一个类,BaseHandler继承

import tornado.options

import tornado.httpserver

from tornado.options import define, options

define('port',default=8000, help='run port', type=int)

define('version', default=0.1, help='version', type=str)

  # 装饰器authenticated需要的Base类       通过redis加密需要继承这个SessionMixin

class BaseHandler(tornado.web.RequestHandler, SessionMixin):

    def get_current_user(self):  # 改写Base类的这个方法

        # current_user = self.get_secure_cookie('ID')

        current_user = self.session.get('ID')

        if current_user:

            return current_user

        return None

   #  redis加密时,Login继承Base

class LoginHandler(BaseHandler):

    def get(self):

        nextname = self.get_argument('next','')

        self.render('login_1.html',

                    nextname=nextname,

                    error=''

                    )

    def post(self, *args, **kwargs):

        name = self.get_argument('name','')

        password = self.get_argument('password','')

        username = User.by_name(name)

        nextname = self.get_argument('next','')

        print(name, password, nextname)

        if username and username.password==password:

            self.session.set('ID',name)    # session为redis的会话,设置redis的加密cookie

            if nextname:

                self.redirect(nextname)

            else:

                self.redirect('/buy')

        else:

            self.render('login_1.html',

                        nextname=nextname,

                        error='用户名或密码错误'

                        )

class BuyHandler(BaseHandler):

    @authenticated

    def get(self):

        self.write('欢迎您,尊敬的 VIP1000 用户')

application = tornado.web.Application(

    [

        (r"/login", LoginHandler),

        (r"/buy", BuyHandler),

    ],

    template_path='templates',

    login_url='/login',

    cookie_secret='haha',

    pycket={

        'engine': 'redis',   # 连接redis

        'storage': {

            'host': 'localhost',    # 本机

            'port': 6379,       # redis端口

            'db_sessions': 5,   # redis的数据库(0-15个)

            'db_notifications': 11,

            'max_connections': 2 ** 31,

        },

        'cookies': {           # cookie 过期时间

            'expires_days': 30,

            'max_age': 100

        },

    },

    debug=True

)

if __name__ == '__main__':

    tornado.options.parse_command_line()  # 获取命令行的参数 --port=1040 就能使用这个参数

    print(options.port)

    print(options.version)

    http_server = tornado.httpserver.HTTPServer(application)

    application.listen(options.port)

    tornado.ioloop.IOLoop.instance().start()

防止cookie被盗用后,用这个虚假cookie去欺骗服务器(防止跨域攻击)

思路:在返回登录界面时发送一串独有的标记,这个标记和cookie相同,判断是否为服务器发出来登陆页面

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

</head>

<body>

{% if error %}

用户名或密码错误

{% end %}

{% if nextname == '' %}

    <form method="post" action="/login">

        {% module xsrf_form_html() %}   # 返回form表单给浏览器时发送独有的标记,和cookie的信息相同。
用来证明是服务器发送的

        <p>用户名:<input type="text", name="name"></p>

        <p>密码:<input type="password", name="password"></p>

        <input type="submit">

    </form>

{% else %}

    <form method="post" action="/login?next={{nextname}}">

        {% module xsrf_form_html() %}

        <p>用户名:<input type="text", name="name"></p>

        <p>密码:<input type="password", name="password"></p>

        <input type="submit">

{% end %}

    </form>

</body>

</html>

服务器对cookie信息加密的更多相关文章

  1. C#模拟httpwebrequest请求_向服务器模拟cookie发送

    使用C#代码模拟web请求,是一种常用的方法,以前没专门整理过,这里暂时贴上自己整理的完整代码,以后再做梳理: public class MyRequest { #region 辅助方法 public ...

  2. js_html_input中autocomplete="off"在chrom中失效的解决办法 使用JS模拟锚点跳转 js如何获取url参数 C#模拟httpwebrequest请求_向服务器模拟cookie发送 实习期学到的技术(一) LinqPad的变量比较功能 ASP.NET EF 使用LinqPad 快速学习Linq

    js_html_input中autocomplete="off"在chrom中失效的解决办法 分享网上的2种办法: 1-可以在不需要默认填写的input框中设置 autocompl ...

  3. 如何利用服务器下发的Cookie实现基于此Cookie的会话保持

    Cookie是一种在客户端保持HTTP状态信息的常用技术,基于Cookie的会话保持常常出现在很多AX的部署案例中,尤其是涉及电子交易的系统部署中.此类系统往往要求负载均衡设备按照服务器下发的Cook ...

  4. Cookie 路径在本机测试及服务器部署,在浏览器处理方式上的不同

    Table of Contents 1 问题场景 2 解决过程 2.1 cookie是否设置成功 2.2 cookie是否上传到服务器 3 总结 1 问题场景 最近在学用Python进行web开发,写 ...

  5. Node.js_express_浏览器存储技术 Cookie(服务器将少量数据交于浏览器存储管理)

    浏览器存储技术 Cookie 服务器将少量数据交于浏览器存储管理 解决 http 无状态协议的问题(无法区分多次请求是否发送自同一客户端) 一个网页一般最多 20个的 cookie,每个 cookie ...

  6. Cookie/Session机制详解

    会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端 ...

  7. 【转】Cookie和Session区别和联系详解

    会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端 ...

  8. 理解Cookie和Session机制(转)

    目录[-] Cookie机制 什么是Cookie 记录用户访问次数 Cookie的不可跨域名性 Unicode编码:保存中文 BASE64编码:保存二进制图片 设置Cookie的所有属性 Cookie ...

  9. Cookie与Session的区别-总结很好的文章

    Cookie与Session的区别-总结很好的文章 本文分别对Cookie与Session做一个介绍和总结,并分别对两个知识点进行对比分析,让大家对Cookie和Session有一个更深入的了解,并对 ...

随机推荐

  1. Executor 框架详解

    框架最核心的类是ThreadPoolExecutor,它是Java线程池的实现类,通过Executors工具类,可以创建3种类型的ThreadPoolExecutor: 首先附上ThreadPoolE ...

  2. 网络流初步:<最大流>——核心(增广路算法)(模板)

    增广路的核心就是引入了反向边,使在进行道路探索选择的时候增加了类似于退路的东西[有一点dp的味道??] 具体操作就是:1.首先使用结构体以及数组链表next[ MAXN ]进行边信息的存储 2.[核心 ...

  3. LG3812 【模板】线性基

    题意 给定n个整数(数字可能重复),求在这些数中选取任意个,使得他们的异或和最大. \(1≤n≤50,0≤S_i≤2^{50}\) 分析 模板题. 推荐一篇好博客 现在我来证明一下线性基的性质. 性质 ...

  4. 偶尔用得上的MySQL操作

    数据库编码 查看数据库编码 use xxx show variables like 'character_set_database'; 切换数据库编码 alter database xxx CHARA ...

  5. day43 数据库学习egon的博客 约束

    一 介绍 约束条件与数据类型的宽度一样,都是可选参数 作用:用于保证数据的完整性和一致性主要分为: PRIMARY KEY (PK) 标识该字段为该表的主键,可以唯一的标识记录 FOREIGN KEY ...

  6. smarty学习——缓存

    存被用来保存一个文档的输出从而加速display()或fetch()函数的执行.如果一个函数被加进缓存,那么实际输出的内容将用缓存来代替. 缓存可让事物非常快速的执行,特别是带有长计算时间的模板.一旦 ...

  7. BitKeeper 和 Git

    在 2002 年到 2005年, Linux 内核使用 BitKeeper 管理代码. BitKeeper 的 CEO 和 Linus 曾经是好友. 在 Git 诞生 11年后 BitKeeper 宣 ...

  8. bzoj 2616 SPOJ PERIODNI——笛卡尔树+树形DP

    题目:https://www.lydsy.com/JudgeOnline/problem.php?id=2616 把相同高度的连续一段合成一个位置(可能不需要?),用前缀和维护宽度. 然后每次找区间里 ...

  9. bzoj 4772 显而易见的数论——拆分数(五边形数定理)+线性筛

    题目:https://www.lydsy.com/JudgeOnline/problem.php?id=4772 题解:https://blog.csdn.net/Dream_Lolita/artic ...

  10. PHP解析xml文件时报错:I/O warning : failed to load external entity

    在代码顶部增加 libxml_disable_entity_loader(false); libxml_disable_entity_loader()作用是设置是否禁止从外部加载XML实体,设为tru ...