Câu hỏi Pyramid.security: Double cookies? Cookie không an toàn? Hết hạn?

Question

Tôi đang tham gia bước đột phá đầu tiên vào mô-đun bảo mật Kim tự tháp. Tôi đang sử dụng mã đăng nhập này để thiết lập auth_tkt:

@view_config(route_name='LoginForm', request_method='POST', renderer='string') 
class LoginForm(SimpleObject): 
    def __call__(self): 

     emailAddress = self.request.params.get('emailAddress') 
     password = self.request.params.get('password') 

     if emailAddress != 'testemail@gmail.com' or password != 'testpassword': 
      errorDictionary = { 'message' : "Either the email address or password is wrong." } 
      self.request.response.status = 400 
      return json.dumps(errorDictionary, default=json_util.default) 

     testUserGUID = '123123123' 

     headers = remember(self.request, testUserGUID) 
     return HTTPOk(headers=headers) 

Có vẻ như để làm việc ok, nhưng có một số chi tiết khó hiểu:

Trước hết, 2 cookie thực sự được thiết lập thay vì một. 2 cookie giống nhau (cả với tên "auth_tkt") ngoại trừ một sự khác biệt: một cookie có giá trị máy chủ lưu trữ là ".www.mydomain.com" trong khi cookie khác có giá trị máy chủ lưu trữ là "www.mydomain.com" 2 cookie được đặt thay vì một cookie? Ý nghĩa của các giá trị host khác nhau là gì?

Câu hỏi 2, các công cụ web báo cáo rằng cả cookie đều không an toàn. Tôi có thể làm gì để đảm bảo cookie/s được bảo mật?

Câu hỏi 3: Cả hai cookie đều có giá trị hết hạn là "Vào cuối phiên". Điều này có nghĩa là gì và làm thế nào tôi có thể tùy chỉnh giá trị hết hạn của bản thân mình? Thực hành được khuyến nghị cho thời gian hết hạn cookie đăng nhập là gì?

Câu hỏi 4: Tôi không hiểu tại sao đối số đầu tiên của "ghi nhớ" là self.request thay vì self.request.response. Không nên ghi nhớ dữ liệu trên đối tượng phản hồi, không phải đối tượng yêu cầu?

Answer 1

1. Thực ra, 3 cookie được tạo; một không có mã số Domain, một có và thứ ba với phiên bản ký tự đại diện của tên miền của bạn (dấu chấm đầu). Trình duyệt của bạn thường kết hợp cả hai hoặc bỏ qua một trong số đó (trình duyệt khác với trình duyệt, đó là lý do tại sao 2 trình duyệt được đặt).

   Cookie cuối cùng được tạo khi tùy chọn wild_domain được đặt trên AuthTktAuthenticationPolicy (Đúng theo mặc định); xem AuthTktAuthenticationPolicy API. Bạn cần điều này nếu cookie xác thực của bạn được chia sẻ giữa các tên miền phụ khác nhau (nghĩ app1.domain, app2.domain); trình duyệt của bạn sẽ không chia sẻ cookie trên các tên miền phụ mà không có cookie ký tự đại diện.

2. Bạn cần đặt tùy chọn secure trên chính sách xác thực của bạn cho cookie để đặt cờ an toàn. Một lần nữa, hãy xem API.

3. Không đặt hết hạn, có nghĩa là cookie sẽ bị xóa khi bạn đóng trình duyệt (cuối phiên mà trình duyệt của bạn hiển thị). Nếu bạn muốn người dùng của mình bị đăng xuất khi họ đóng trình duyệt, hãy để người dùng này làm mặc định.

   Chỉ nếu bạn muốn phiên cuối cùng trên đóng cửa trình duyệt, đặt độ tuổi tối đa của cookie, hãy xem tùy chọn max_age trong API. Tùy chọn này sẽ khiến các trình duyệt lưu trữ cookie trên đĩa để duy trì giữa các lần đóng trình duyệt và xóa chúng khi độ tuổi tối đa đã qua.

   Lưu ý rằng đối tượng chính sách AuthTktAuthenticationPolicy có thể quản lý phiên đăng nhập một cách chi tiết hơn bằng cách giới hạn thời gian sẽ xem xét bất kỳ cookie xác thực nào hợp lệ và sẽ cho phép bạn thiết lập chính sách làm mới cookie. Với chính sách làm mới như vậy, người dùng sẽ nhận được cookie mới (làm mới) khi họ tiếp tục sử dụng ứng dụng của bạn, nhưng nếu họ không kết nối với máy chủ của bạn trong một khoảng thời gian nhất định, cookie của họ sẽ bị coi là không hợp lệ và họ sẽ có để đăng nhập lại.

   Xem các tùy chọn timeout và reissue_time trong API documentation để biết thêm chi tiết về cách định cấu hình này.

4. Đối tượng chính sách yêu cầu một số thông tin từ yêu cầu để có thể tạo cookie, không ít nhất là tất cả tên máy chủ lưu trữ của máy chủ của bạn.