0

在 turbogearsdevelopment.ini文件中,有一个类似这样的值:

cookie_secret = aabbccdd-eeff-0011-2233-445566778899

由十六进制数字和破折号组成。相同的值放在beaker.session.secret和中beaker.session.validate_key

http://turbogears.org/2.0/docs/main/Config.html有一个关于这个值的部分:

base_config 对象的 beaker.session.secret 密钥包含用于存储用户会话的密钥。当您创建项目时,Pylons 会自动为您生成一个随机密钥。如果攻击者得到了这个密钥,他将能够伪造一个有效的会话来使用你的应用程序,尽管他已经登录了。如果发生安全漏洞,你可以更改这个密钥以使所有用户会话无效。

生成新密钥的最佳方法是什么?

4

1 回答 1

1

它可以是你想要的任何东西。如果难以捕捉或暴力破解则更好。适用相同的密码规则。如果我没记错的话,它目前是用 uuid.uuid4() 生成的

于 2013-12-29T13:46:12.917 回答