在Django中,如何使用SECRET_KEY解密數據庫和cookie中的會話ID?
[英]In Django how to decrypt the session id in database and in cookie with my SECRET_KEY?
問題描述
我使用以下設置創建了一個Django應用程序-(用於cookie基本會話)
SESSION_ENGINE = 'django.contrib.sessions.backends.signed_cookies'
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'
然后我得到了一個會話ID
sessionid=.eJxrYJk6gwECaqdo9PDGJ5aWZMSXFqcWxWemTOlhMjSY0iOEJJiUmJydmgeU0UzJSsxLz9dLzs8rKcpM0gMp0YPKFuv55qek5jjB1PIjGZCRWJwxpUfDMNUk1STJ1MLc0tLczDLNyMg0ydDQzDTJzCjZ0jg50SLR3NDc3DzReEqpHgBcETf7:1eVt50:xtWtUp9mwcxusxtg6fZB_tHzlYw
使用其他設置(用於數據庫支持的sesison)
SESSION_ENGINE = 'django.contrib.sessions.backends.db'
SESSION_SERIALIZER = 'django.contrib.sessions.serializers.JSONSerializer'
我在數據庫中得到以下加密的字符串:
gzc9c9nwwraqhbdsk9xg935ypkqp7ecs|MmExZWI0NjZjYzIwNDYyZDhjNWVmODJlNmMwNjI0ZmJmMjQ4MTljNDp7Il9hdXRoX3VzZXJfaWQiOiIxMCIsIl9hdXRoX3VzZXJfYmFja2VuZCI6ImRqYW5nby5jb250cmliLmF1dGguYmFja2VuZHMuTW9kZWxCYWNrZW5kIiwiX2F1dGhfdXNlcl9oYXNoIjoiMWU0ZTRiNTg3OTk3NjlmMjI1YjExNjViNjJjOTNjYThhNzE3NzdhMyIsImxhc3RfbG9naW4iOjIyMjJ9
我想知道兩個加密字符串中的內容。
- 如何解密兩者?
- django使用哪種加密算法進行加密?
- 在哪里可以設置加密算法?
如果有人可以給我示例代碼,那將是很棒的。
2 個解決方案
解決方案1
1 2018-01-01 06:34:11
首先,我不建議您使用PickleSerializer除非您有充分的理由來更改默認會話序列化程序並了解安全隱患 。
您擁有的Cookie並未進行加密,它們只是被編碼為url安全的base64(可以選擇使用zlib壓縮),然后進行簽名:
In [8]: import base64
In [9]: base64.urlsafe_b64decode('MmExZWI0NjZjYzIwNDYyZDhjNWVmODJlNmMwNjI0ZmJmMjQ4MTljNDp7Il9hdXRoX3VzZXJfaWQiOiIxMCIsIl9hdXRoX3VzZXJfYmFja2VuZCI6ImRqYW5nby5jb250cmliLmF1dGguYmFja2V
... uZHMuTW9kZWxCYWNrZW5kIiwiX2F1dGhfdXNlcl9oYXNoIjoiMWU0ZTRiNTg3OTk3NjlmMjI1YjExNjViNjJjOTNjYThhNzE3NzdhMyIsImxhc3RfbG9naW4iOjIyMjJ9')
Out[9]: '2a1eb466cc20462d8c5ef82e6c0624fbf24819c4:{"_auth_user_id":"10","_auth_user_backend":"django.contrib.auth.backends.ModelBackend","_auth_user_hash":"1e4e4b58799769f225b1165b62c93ca8a71777a3","last_login":2222}'
In [10]: base64.urlsafe_b64decode('.eJxrYJk6gwECaqdo9PDGJ5aWZMSXFqcWxWemTOlhMjSY0iOEJJiUmJydmgeU0UzJSsxLz9dLzs8rKcpM0gMp0YPKFuv55qek5jjB1PIjGZCRWJwxpUfDMNUk1STJ1MLc0tLczDLNyMg0ydDQz
... DTJzCjZ0jg50SLR3NDc3DzReEqpHgBcETf7').decode('zlib')
Out[10]: '\x80\x04\x95\x98\x00\x00\x00\x00\x00\x00\x00}\x94(\x8c\r_auth_user_id\x94\x8c\x0210\x94\x8c\x12_auth_user_backend\x94\x8c)django.contrib.auth.backends.ModelBackend\x94\x8c\x0f_auth_user_hash\x94\x8c(1e4e4b58799769f225b1165b62c93ca8a71777a3\x94u.'
這全部由您的SESSION_ENGINE處理:
from importlib import import_module
from django.conf import settings
SessionStore = import_module(settings.SESSION_ENGINE).SessionStore
session_data = SessionStore().decode('.eJxrYJk6gwECaqdo9PDGJ5aWZMSXFq......')
解決方案2
1 已采納 2018-01-01 07:35:33
可以在以下位置找到有關使用密鑰對值進行簽名的文檔: https : //docs.djangoproject.com/en/2.0/topics/signing/
查看看起來像復雜值的會話ID字符串: https : //docs.djangoproject.com/en/2.0/topics/signing/#protecting-complex-data-structures
>>> from django.core import signing
>>> value = signing.dumps({"foo": "bar"})
>>> value
'eyJmb28iOiJiYXIifQ:1NMg1b:zGcDE4-TCkaeGzLeW9UQwZesciI'
>>> signing.loads(value)
{'foo': 'bar'}
所以嘗試做signing.loads(session_id)
但這也可能由於鹽錯誤而失敗。 只需閱讀有關Django會話的信息,以了解有關存儲的更多信息。 特別是https://docs.djangoproject.com/en/2.0/topics/http/sessions/以及如何實現自己的序列化器/存儲
當生成的 SECRET_KEY 以“$”開頭時,如何從環境文件中轉義 Django 中的 SECRET_KEY?
[英]How to escape SECRET_KEY in Django from environment file when generated SECRET_KEY begins with '$'?
Django 中的 SECRET_KEY = os.environ['SECRET_KEY'] 如何工作?
[英]How does SECRET_KEY = os.environ['SECRET_KEY'] in Django work?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在 Django 中保密 SECRET_KEY?
如何使用virtualenv和Django隱藏我的secret_key?
當生成的 SECRET_KEY 以“$”開頭時,如何從環境文件中轉義 Django 中的 SECRET_KEY?
Django設置SECRET_KEY
部署Django SECRET_KEY
VPS 上的 Django SECRET_KEY
Django 中的 SECRET_KEY = os.environ['SECRET_KEY'] 如何工作?
Git/Heroku - 如何隱藏我的 SECRET_KEY?
Django 說 SECRET_KEY 不能為空
關於 Django 和 SECRET_KEY 的困惑
相關標簽