在 turbogearsdevelopment.ini
文件中,有一个类似这样的值:
cookie_secret = aabbccdd-eeff-0011-2233-445566778899
由十六进制数字和破折号组成。相同的值放在beaker.session.secret
和中beaker.session.validate_key
。
http://turbogears.org/2.0/docs/main/Config.html有一个关于这个值的部分:
base_config 对象的 beaker.session.secret 密钥包含用于存储用户会话的密钥。当您创建项目时,Pylons 会自动为您生成一个随机密钥。如果攻击者得到了这个密钥,他将能够伪造一个有效的会话来使用你的应用程序,尽管他已经登录了。如果发生安全漏洞,你可以更改这个密钥以使所有用户会话无效。
生成新密钥的最佳方法是什么?