cookie和session、token、csrf

cookie

客户端会话技术，数据都存储在客户端，以key-value进行存储，支持过期时间max_age，默认请求会携带本网站的所有cookie，cookie不能跨域名，不能跨浏览器，cookie默认不支持中文base64

cookie是服务器端创建 保存在浏览器端 设置cookie应该是服务器 response 获取cookie应该在浏览器 request 删除cookie应该在服务器 response cookie使用： 设置cookie：response.set_cookie(key,value） 获取cookie：username =request.COOKIES.get("username") 删除cookie：response.delete_cookie("content")

可以加盐：加密 获取的时候需要解密
    加密  response.set_signed_cookie('content', uname, "xxxx")
    解密  
         获取的是加盐之后的数据
            uname = request.COOKIES.get('content)
         获取的是解密之后数据
         uname = request.get_signed_cookie("content", salt="xxxx")
    
通过Response将cookie写到浏览器上，下一次访问，浏览器会根据不同的规则携带cookie过来
  # 以下都是浏览器设置，不需要我们自行设置
    max_age:整数，指定cookie过期时间  单位秒
    expries:整数，指定过期时间，还支持是一个datetime或   timedelta，可以指定一个具体日期时间
    max_age和expries两个选一个指定
    过期时间的几个关键时间
        max_age 设置为 0 浏览器关闭失效
        设置为None永不过期
        expires=timedelta(days=10) 10天后过期

session

    服务端会话技术，数据都存储在服务端，默认存在内存 RAM，在django被持久化到了数据库中，该表叫做
    Django_session,这个表中有三个字段，分别为seesion_key,session_data,expris_date.
    Django中Session的默认过期时间是14天，支持过期，主键是字符串，默认做了数据安全，使用了BASE64
        - 使用的base64之后 那么这个字符串会在最后面添加一个=
        - 在前部添加了一个混淆串
    依赖于cookies
session使用：
    设置session
            request.session["username"] = username
    获取session
            username = request.session.get("username")
    使用session退出
            del request.session['username']
                cookie是脏数据
            response.delete_cookie('sessionid')
                session是脏数据
            request.session.flush()
            冲刷
    session常用操作
        get(key,default=None) 根据键获取会话的值
        clear() 清楚所有会话
        flush() 删除当前的会话数据并删除会话的cookie
        delete request['session_id'] 删除会话
        session.session_key获取session的key
        request.session[‘user’] = username
            数据存储到数据库中会进行编码使用的是Base64

 

token

（1）binascii.b2a_base64(os.urandom(24))[:-1]

import binascii
import os
binascii.b2a_base64(os.urandom(24))[:-1]  # b'J1pJPotQJb6Ld+yBKDq8bqcJ71wXw+Xd'
总结：这种算法的优点是性能快， 缺点是有特殊字符， 需要加replace 来做处理。

(2)sha1(os.urandom(24)).hexdigest()

import hashlib
import os
hashlib.sha1(os.urandom(24)).hexdigest() #'21b7253943332d0237a720701bcb8161b82db776'
总结：这种算法的优点是安全，不需要做特殊处理。缺点是覆盖范围差一些。

(3)uuid4().hex

import os
import uuid
uuid.uuid4().hex # 'c58a80d3b7864b0686757b95e9626e47'
总结：Uuid使用起来比较方便， 缺点为安全性略差一些。

（4）base64.b32encode(os.urandom(20))/base64.b64encode(os.urandom(24))

import base64
import os
base64.b32encode(os.urandom(20)) # b'NJMTBMOYIXHNRATTOTVONT4BXJAC25TX'
base64.b64encode(os.urandom(24)) # b'l1eU6UzSlWsowm8M8lH5VaFhZEAQ4kQj'

总结：可以用base64的地方，选择binascii.b2a_base64是不错的选择 根据W3的SessionID的字串中对identifier的定义，SessionID中使用的是base64，但在Cookie的值内使用需要注意“=”这个特殊字符的存在； 如果要安全字符（字母数字），SHA1也是一个不错的选择，性能也不错；

• token应用

import hashlib
​
# 待加密内容
strdata = "xiaojingjiaaseafe16516506ng"
​
h1 = hashlib.md5()
h1.update(strdata.encode(encoding='utf-8'))
​
strdata_tomd5 = h1.hexdigest()
​
print("原始内容：", strdata, ",加密后：", strdata_tomd5)
​
import time
import base64
import hmac
​
​
# 生产token
def generate_token(key, expire=3600):
    r'''''
        @Args:
            key: str (用户给定的key，需要用户保存以便之后验证token,每次产生token时的key 都可以是同一个key)
            expire: int(最大有效时间，单位为s)
        @Return:
            state: str
    '''
    ts_str = str(time.time() + expire)
    ts_byte = ts_str.encode("utf-8")
    sha1_tshexstr = hmac.new(key.encode("utf-8"), ts_byte, 'sha1').hexdigest()
    token = ts_str + ':' + sha1_tshexstr
    b64_token = base64.urlsafe_b64encode(token.encode("utf-8"))
    return b64_token.decode("utf-8")
​
​
# 验证token
def certify_token(key, token):
    r'''''
        @Args:
            key: str
            token: str
        @Returns:
            boolean
    '''
    token_str = base64.urlsafe_b64decode(token).decode('utf-8')
    token_list = token_str.split(':')
    if len(token_list) != 2:
        return False
    ts_str = token_list[0]
    if float(ts_str) < time.time():
        # token expired
        return False
    known_sha1_tsstr = token_list[1]
    sha1 = hmac.new(key.encode("utf-8"), ts_str.encode('utf-8'), 'sha1')
    calc_sha1_tsstr = sha1.hexdigest()
    if calc_sha1_tsstr != known_sha1_tsstr:
        # token certification failed
        return False
        # token certification success
    return True
​
​
key = "xiaojingjing"
print("key：", key)
user_token = generate_token(key=key)
​
print("加密后：", user_token)
user_de = certify_token(key=key, token=user_token)
print("验证结果：", user_de)
​
key = "xiaoqingqing"
user_de = certify_token(key=key, token=user_token)
print("验证结果：", user_de)

 

（4）cookie与session的区别

1、cookie数据存放在客户端上，session数据放在服务器上。
2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 
考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能 
考虑到减轻服务器性能方面，应当使用COOKIE

(5)session与token的区别

1.作为身份认证 token安全性比session好，因为每个请求都有签名还能防止监听以及重放攻击
2.Session 是一种HTTP存储机制，目的是为无状态的HTTP提供的持久机制。Session 认证只是简单的把User 信息存储到Session 里，因为SID 的不可预测性，暂且认为是安全的。这是一种认证手段。 但是如果有了某个User的SID,就相当于拥有该User的全部权利.SID不应该共享给其他网站或第三方.
3.Token,如果指的是OAuth Token 或类似的机制的话，提供的是 认证 和 授权 ，认证是针对用户，授权是针对App。其目的是让 某App有权利访问 某用户 的信息。这里的 Token是唯一的。不可以转移到其它 App上，也不可以转到其它 用户上。

csrf豁免

CSRF
    防跨站攻击
    实现机制
        页面中存在{% csrf_token %}时
        在渲染的时候，会向Response中添加 csrftoken的Cookie
        在提交的时候，会被添加到请求体中， 会被验证有效性
    csrf（https://www.jianshu.com/p/d1407591e8de）
解决csrf的问题/csrf豁免：
    1 注释中间件
    2 在表单中添加{%csrf_token%}
    3 在方法上添加 @csrf_exempt