Tornado中的Cookie设置
Tornado中的cookie分为两种--普通cookie和安全cookie
普通cookie
1.创建cookie
原型
self.set_cookie(name, value, domain=None,expires=None, path="/", expires_days=None, **kwargs
参数解释
| 参数名 | 意义 |
|---|---|
| name | 创建cookie的名称 |
| value | 创建cookie的值 |
| domain | 提交cookie时匹配的域名 |
| path | 提交cookie时匹配的路径 |
| expires | cookie的有效期,可以是时间戳整数,时间元组,datetime类型.为UTC时间 |
| expires_days | cookie的有效期天数.优先级低于expires |
示例
class PCookieHandler(RequestHandler):
def get(self):
self.set_cookie("name", "kainhuck")
self.write("ok")
2.原理
设置cookie的原理实际上是通过设置headers中的Set-Cookie来实现的.
示例
self.set_header("Set-Cookie", "name=kainhuck; Path=/")
3.获取cookie
原型
self.get_cookie(name, default=None)
参数解释
| 参数 | 意义 |
|---|---|
| name | 要获取的cookie的名称 |
| default | 如果要获取的cookie值不存在,则返回default的值 |
示例
class GetComCookie(RequestHandler):
def get(self):
cookie = self.get_cookie("name", "NULL")
print("cookie:",cookie)
self.write("ok")
4.清除cookie
清除cookie有两中方法
法一:
self.clear_cookie(name, path="/", domain=None)
删除名为name,并同时匹配domain和path的cookie
法二:
self.clear_all_cookies(path="/", domain=None)
删除同时匹配path和domain的所有cookie
示例
class ClearPCookieHandler(RequestHandler):
def get(self, *args, **kwargs):
# 清除一个cookie
# self.clear_cookie("hello")
# 清除所有cookie
self.clear_all_cookies()
self.write("ok")
安全cookie
tornado提供了一种对cookie进行简易加密方式来防止Cookie被恶意篡改
1.设置安全cookie
设置安全cookie需要一个进行混淆加密的秘钥
生成秘钥的方法举例
import base64
import uuid
key = base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
print(key) # zadJa2GJTOu5wGL62RngnVrUxVoQ80H2u6qjAfQ4rv4=
并在tornado.web.Application里添加cookie_secret
"cookie_secret": "zadJa2GJTOu5wGL62RngnVrUxVoQ80H2u6qjAfQ4rv4="
示例
class SCookieHandler(RequestHandler):
def get(self, *args, **kwargs):
self.set_secure_cookie("laohu", "good")
self.write("ok")
安全cookie值的样子
2|1:0|10:1548248269|5:laohu|8:Z29vZA==|c611b726829b3ba268e7e01da446a9daed7262b505e29ec34fdf239cef2fcfc8
说明
- 以竖线分割, 冒号前面表示后面有几位
- 安全cookie的版本,默认使用版本2
- 默认为0
- 时间戳
- cookie名
- base64编码的cookie值
- 签名值,不带长度说明
2.获取安全cookie
原型
self.get_secure_cookie(name, value=None, max_age_days=31, min_version=None)
说明一: 如果cookie存在且验证通过,返回cookie值,否则返回None
说明二: max_age_days不同于expires_days,expires_days设置浏览器中的cookie的有效时间.而max_age_days是过滤安全cookie的时间戳
示例
class GetSCookieHandler(RequestHandler):
def get(self, *args, **kwargs):
scookie = self.get_secure_cookie("laohu")
print("scookie =", scookie)
self.write("ok")
注意
安全cookie不是完全的安全,只是增加了破解cookie的难度,请勿用cookie存储敏感数据
