我有一个使用 pyramid_beaker 的金字塔应用程序。这是我的配置:
# Options For Sessions and Caching:
session.type = file
session.data_dir = %(here)s/../../data/sessions/data
session.lock_dir = %(here)s/../../data/sessions/lock
# Session Options:
session.key = session_id
session.secure = false
session.timeout = 3600
session.cookie_expires = true
session.cookie_domain = .mydomain.local
session.httponly = true
# Encryption Options:
session.encrypt_key = c]?wvL",ni3J.)d8(e~z8b-9Le=Anh'.QMytBj^Kukfi<79C$Cg22)cX;__xs6?S
session.validate_key = \2R('?pL]\Z_8?(o`.?.?^.RF6t*5pCh6PH`~aon%H`PX$;E}"((mu-@(?G<=!:+
# pyramid_beaker specific option
session.cookie_on_exception = true
这是登录表单视图:
def login(self):
message_html = _('view.login.welcome-message', default='Please log in.')
login_url = self.request.route_url('login')
login = ''
password = ''
referrer = self.request.url
if referrer == login_url:
referrer = self.request.route_url('home')
came_from = self.request.POST.get('came_from', referrer)
csrf_token = self.request.session.get_csrf_token()
if 'form.submitted' in self.request.POST:
login = self.request.POST.get('login')
password = self.request.POST.get('password')
if csrf_token == self.request.POST.get('csrf_token'):
if login in USERS:
manager = BCRYPTPasswordManager()
if manager.check(USERS[login], password):
headers = remember(self.request, login)
return HTTPFound(location=came_from, headers=headers)
message_html = _('view.login.failed-login-message', default='Login failed!')
return {
'message_html': message_html,
'url': login_url,
'login': login,
'password': password,
'came_from': came_from,
'csrf_token': csrf_token,
}
现在,当用户想要登录时,视图会呈现一个表单并session_id生成一个 cookie。当用户提交一个有效的表单时,cookie 的值就会被接受来验证用户的身份。
没有什么能阻止用户在提交表单之前更改 cookie 的值。根据这个问题,这种行为显然是一个安全漏洞。
那么,如何使用 pyramid_beaker 以便服务器在登录成功时生成新的 session_id 值,而不是从 cookie 中获取呢?