Django 設(shè)計(jì)如此.
signed_cookie 只是加了簽名的 cookie, 而不是被加密的 cookie.
signed_cookie 的作用是防止用戶私自纂改.參考: Securing Web Cookies With Signatures
So once I’ve logged in, we set a username cookie containing “Michael Brunton-Spall”, or uid=1 or something.
The problem with this is that the user is in total control of this cookie
單純的記錄 uid 或者用戶名在 cookie 中很容易被篡改(也是不建議將用戶敏感信息記錄在cookie中的原因), 萬一攻擊者把uid=1換成uid=2豈不是可以訪問 uid=2用戶的資源了嗎? 而如果換成uid=2:1fPjh2:iQGDDYNcgSYkIFqa2ixqakj6-gI那么服務(wù)端不僅檢驗(yàn)uid, 還檢驗(yàn)uid=2后面的簽名字段, 即是調(diào)用HttpRequest.get_signed_cookie(key=key, salt=salt), 這樣即使用戶把 cookie 中的 value 換成 uid=2, 但是沒有簽名, 服務(wù)端照樣拒絕訪問資源.
另外, Django 的 cookie 簽名是用的Base64_with_hmac, 參考: Source code for django.core.signing
如果需要在 cookie 里設(shè)置被加密的 value, 需要自行對(duì) value 進(jìn)行加密(好像只能是對(duì)稱加密), 比如使用hashlib.sha256{參考: hashlib — Secure hashes and message digests}:
>>> import hashlib
>>> hashlib.sha256(b"value").hexdigest()
'cd42404d52ad55ccfa9aca4adc828aa5800ad9d385a0671fbcbf724118320619'
說句題外話,
對(duì)于 json 格式的字符串的加密, 目前推薦的方案是 JWT 規(guī)范, 參考: Introduction to JSON Web Tokens, 同樣也是把信息暴露給了用戶(但是一般的用戶不能直接通過 token 看到信息, 需要稍加解密, 用戶也不可能修改加密后的內(nèi)容).
需要比較根本地防止中間人攻擊, 加上 https 會(huì)是比較明智的選擇.
