加密签名 — Django 文档
加密签名
Web 应用程序安全的黄金法则是永远不要信任来自不可信来源的数据。 有时,通过不受信任的介质传递数据会很有用。 加密签名的值可以通过不受信任的通道安全地传递,因为知道任何篡改都将被检测到。
Django 提供了用于对值进行签名的低级 API 和用于设置和读取签名 cookie 的高级 API,这是在 Web 应用程序中签名的最常见用途之一。
您可能还会发现签名对以下内容很有用:
- 生成“恢复我的帐户”URL 以发送给丢失密码的用户。
- 确保存储在隐藏表单字段中的数据未被篡改。
- 生成一次性秘密 URL 以允许临时访问受保护的资源,例如用户已付费的可下载文件。
保护 SECRET_KEY
当您使用 :djadmin:`startproject` 创建新的 Django 项目时,会自动生成 settings.py 文件并获取随机 :setting:`SECRET_KEY` 值。 此值是保护签名数据的关键——确保其安全至关重要,否则攻击者可能会使用它来生成自己的签名值。
使用低级 API
Django 的签名方法位于 django.core.signing 模块中。 要签署一个值,首先实例化一个 Signer 实例:
签名附加到字符串的末尾,跟在冒号之后。 您可以使用 unsign 方法检索原始值:
如果签名或值以任何方式更改,将引发 django.core.signing.BadSignature 异常:
默认情况下,Signer 类使用 :setting:`SECRET_KEY` 设置来生成签名。 您可以通过将其传递给 Signer 构造函数来使用不同的秘密:
- class Signer(key=None, sep=':', salt=None)
- 返回使用
key生成签名并使用sep分隔值的签名者。sep不能在 URL 安全 base64 字母表 中。 此字母表包含字母数字字符、连字符和下划线。
使用 salt 参数
如果您不希望特定字符串的每次出现都具有相同的签名哈希,您可以使用可选的 salt 参数到 Signer 类。 使用盐将使用盐和您的 :setting:`SECRET_KEY` 为签名哈希函数提供种子:
以这种方式使用 salt 会将不同的签名放入不同的命名空间。 来自一个命名空间(特定盐值)的签名不能用于验证使用不同盐设置的不同命名空间中的相同纯文本字符串。 结果是防止攻击者使用在代码中的一个地方生成的签名字符串作为另一段代码的输入,该代码使用不同的盐生成(和验证)签名。
与您的 :setting:`SECRET_KEY` 不同,您的 salt 参数不需要保密。
验证时间戳值
TimestampSigner 是 Signer 的子类,它向值附加一个签名时间戳。 这允许您确认在指定时间段内创建了签名值:
- class TimestampSigner(key=None, sep=':', salt=None)
- sign(value)
签署
value并将当前时间戳附加到它。
- unsign(value, max_age=None)
检查
value是否在小于max_age秒前签名,否则引发SignatureExpired。max_age参数可以接受一个整数或一个datetime.timedelta对象。
保护复杂的数据结构
如果您希望保护列表、元组或字典,您可以使用签名模块的 dumps 和 loads 函数来实现。 这些模仿 Python 的 pickle 模块,但在幕后使用 JSON 序列化。 JSON 确保即使您的 :setting:`SECRET_KEY` 被盗,攻击者也无法利用 pickle 格式执行任意命令:
由于 JSON 的性质(列表和元组之间没有原生区别),如果您传入一个元组,您将从 signing.loads(object) 中获得一个列表:
- dumps(obj, key=None, salt='django.core.signing', serializer=JSONSerializer, compress=False)
- 返回 URL 安全、sha1 签名的 base64 压缩 JSON 字符串。 序列化对象使用 TimestampSigner 签名。
- loads(string, key=None, salt='django.core.signing', serializer=JSONSerializer, max_age=None)
dumps()的反转,如果签名失败,则引发BadSignature。 如果给出,检查max_age(以秒为单位)。
