我来自会话文档,试图找出会话对于敏感数据的安全性。
我想缓存远程连接,更具体地说是 SSH 连接。
文档提到了泡菜的一些安全问题,但这不是我想要的。
会话是否会以纯文本形式存储 SSH 身份验证数据(无论它是在数据库、文件还是其他任何地方)?
问问题
1495 次
1 回答
8
Django 会话系统将您的会话存储在配置的SESSION_ENGINE.
最常用的是数据库,但文件系统、缓存系统或签名 cookie 也是选项。由于除了 cookie 之外的所有内容都在服务器上,因此它们应该相当“安全”,但它们仅与您的服务器一样安全。
虽然数据没有加密,但应该注意的是,如果有人可以访问您的服务器,他们也将可以访问您的加密密钥,因为您的服务器仍然需要能够解密数据,因此在结束。为了最安全,我建议将会话(可能加密)存储在 Redis 中,一旦 Redis 关闭,会话就会消失。
将它们加密存储在 cookie 中是保证数据安全的一个很好的选择,但只有在使用 https 时才能被嗅探。并且不要忘记您仍然需要自己加密它。
于 2013-09-19T13:14:09.530 回答