cookie操作

一、说明

• 概述

  会话控制 用来保持用户的状态 具体来说cookie机制采用的是在客户端保持状态的方案

• 原因

  http协议是无状态的

  每一次请求都是一次新的请求，不会记得之前的通信状态

• 值的存储

  cookie存储在客户端的浏览器 一般会限制存储cookie的个数为 20个 并且单个cookie保存值的大小不能超过4kb 存储在浏览器上为明文存储 所以不安全

二、设置

• 方法

  set_cookie(name, value, domain=None, expires=None, path=’/’, expires_days=None)

  参数说明

  参数名	说明
  name	cookie名
  value	cookie值
  domain	提交cookie时匹配的域名
  path	提交cookie时匹配的路径
  expires	cookie的有效期，可以是时间戳整数、时间元组或者datetime类型，为UTC时间
  expires_days	cookie的有效期，天数，优先级低于expires

  示例

  import time
  
  class IndexHandler(RequestHandler):
      def get(self):
          self.set_cookie("name", "lucky")
          self.set_cookie("age", "18", path="/new", expires=time.strptime("2020-03-04 23:59:59","%Y-%m-%d %H:%M:%S"))
          self.set_cookie("sex", "man", expires_days=20)
          # 利用time.mktime将本地时间转换为UTC标准时间
          self.set_cookie("info", "lucky_info", expires=time.mktime(time.strptime("2020-03-04 23:59:59","%Y-%m-%d %H:%M:%S")))
          self.write("OK")
  

  结果

原理

设置cookie实际就是通过设置header的Set-Cookie来实现的

class IndexHandler(RequestHandler):
    def get(self):
        self.set_header("Set-Cookie", "lucky=lucky_boy; expires=Wed, 04 Mar 2020 15:59:59 GMT; Path=/") 
        self.write("OK")

三、获取

• 方法

  get_cookie(name, default=None) 获取名为name的cookie，可以设置默认值

  示例

  class IndexHandler(RequestHandler):
      def get(self):
          name = self.get_cookie("name")
          self.write(name)
  

四、删除

• 方法

  clear_cookie(name) 删除名为name的cookie

  clear_all_cookies() 删除所有cookie

• 示例

  class ClearOneCookieHandler(RequestHandler):
      def get(self):
          self.clear_cookie("name")
          self.write("OK")
  
  class ClearAllCookieHandler(RequestHandler):
      def get(self):
          self.clear_all_cookies()
          self.write("OK")
  

• 注意

  执行清除cookie操作后，并不是立即删除了浏览器中的cookie，而是给cookie值置空，并改变其有效期使其失效。真正的删除cookie是由浏览器去清理的

五、安全Cookie

• 说明

  Cookie是存储在客户端浏览器中的，很容易被篡改。Tornado提供了一种对Cookie进行简易加密签名的方法来防止Cookie被恶意篡改

  使用安全Cookie需要为应用配置一个用来给Cookie进行混淆的秘钥cookie_secret，将其传递给Application的构造函数。我们可以使用如下方法来生成一个随机字符串作为cookie_secret的值

  示例

  >>> import base64, uuid
  >>> base64.b64encode(uuid.uuid4().bytes + uuid.uuid4().bytes)
  '2hcicVu+TqShDpfsjMWQLZ0Mkq5NPEWSk9fi0zsSt3A='
  

• 扩展

  • Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2的6次方等于64，所以每6个比特为一个单元，对应某个可打印字符。三个字节有24个比特，对应于4个Base64单元，即3个字节需要用4个可打印字符来表示
  • uuid, 通用唯一识别码（英语：Universally Unique Identifier，简称UUID），是由一组32个16进制数字所构成（两个16进制数是一个字节，总共16字节），因此UUID理论上的总数为16³²⁼²128，约等于3.4 x 10^38。也就是说若每纳秒产生1兆个UUID，要花100亿年才会将所有UUID用完。
  • uuid模块的uuid4()函数可以随机产生一个uuid码，bytes属性将此uuid码作为16字节字符串。

• 使用

  将生成的cookie_secret传入Application构造函数

  app = tornado.web.Application(
      [(r"/", IndexHandler),],
      cookie_secret = "2hcicVu+TqShDpfsjMWQLZ0Mkq5NPEWSk9fi0zsSt3A="
  )
  

六、获取和设置

• 方法

  • set_secure_cookie(name, value, expires_days=30) 设置一个带签名和时间戳的cookie，防止cookie被伪造
  • get_secure_cookie(name, value=None, max_age_days=31) 如果cookie存在且验证通过，返回cookie的值，否则返回None。max_age_day不同于expires_days，expires_days是设置浏览器中cookie的有效期，而max_age_day是过滤安全cookie的时间戳

• 示例

  class IndexHandler(RequestHandler):
      def get(self):
          cookie = self.get_secure_cookie("count")
          count = int(cookie) + 1 if cookie else 1
          self.set_secure_cookie("count", str(count))
          self.write(
              '<html><head><title>Cookie计数器</title></head>'
              '<body><h1>您已访问本页%d次。</h1>' % count + 
              '</body></html>'
          )
  

  我们看签名后的cookie值：

  "2|1:0|10:1476412069|5:count|4:NQ==|cb5fc1d4434971de6abf87270ac33381c686e4ec8c6f7e62130a0f8cbe5b7609"
  

• 字段说明

  • 安全cookie的版本，默认使用版本2，不带长度说明前缀
  • 默认为0
  • 时间戳
  • cookie名
  • base64编码的cookie值
  • 签名值，不带长度说明前缀

• 注意

  Tornado的安全cookie只是一定程度的安全，仅仅是增加了恶意修改的难度。Tornado的安全cookies仍然容易被窃听，而cookie值是签名不是加密，攻击者能够读取已存储的cookie值，并且可以传输他们的数据到任意服务器，或者通过发送没有修改的数据给应用伪造请求。因此，避免在浏览器cookie中存储敏感的用户数据是非常重要的

• 过程

  • 写cookie过程：

  ​ 将值进行base64加密
  ​ 对除值以外的内容进行签名，哈希算法（无法逆向解析）
  ​ 拼接 签名 + 加密值

  • 读cookie过程：

  ​ 读取 签名 + 加密值
  ​ 对签名进行验证
  ​ base64解密，获取值内容