web應(yīng)用安全的黃金法則是�����,永遠(yuǎn)不要相信來自不可信來源的數(shù)據(jù)��。有時(shí)通過不可信的媒介來傳遞數(shù)據(jù)會(huì)非常方便���。密碼簽名后的值可以通過不受信任的途徑傳遞���,這樣是安全的,因?yàn)槿魏未鄹亩紩?huì)檢測(cè)的到���。
Django提供了用于簽名的底層API���,以及用于設(shè)置和讀取被簽名cookie的上層API,它們是web應(yīng)用中最常使用的簽名工具之一���。
你可能會(huì)發(fā)現(xiàn)�����,簽名對(duì)于以下事情非常有用:
- 生成用于“重置我的賬戶”的URL���,并發(fā)送給丟失密碼的用戶���。
- 確保儲(chǔ)存在隱藏表單字段的數(shù)據(jù)不被篡改,
- 生成一次性的秘密URL��,用于暫時(shí)性允許訪問受保護(hù)的資源�,例如用戶付費(fèi)的下載文件����。
保護(hù) SECRET_KEY
當(dāng)你使用 startproject創(chuàng)建新的Django項(xiàng)目時(shí),自動(dòng)生成的 settings.py文件會(huì)得到一個(gè)隨機(jī)的SECRET_KEY值���。這個(gè)值是保護(hù)簽名數(shù)據(jù)的密鑰 -- 它至關(guān)重要���,你必須妥善保管,否則攻擊者會(huì)使用它來生成自己的簽名值�。
使用底層 API
Django的簽名方法存放于django.core.signing模塊。首先創(chuàng)建一個(gè) Signer 的實(shí)例來對(duì)一個(gè)值簽名:
>>> from django.core.signing import Signer
>>> signer = Signer()
>>> value = signer.sign('My string')
>>> value
'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w'
這個(gè)簽名會(huì)附加到字符串末尾�,跟在冒號(hào)后面。你可以使用unsign方法來獲取原始的值:
>>> original = signer.unsign(value)
>>> original
'My string'
如果簽名或者值以任何方式改變���,會(huì)拋出django.core.signing.BadSignature 異常:
>>> from django.core import signing
>>> value += 'm'
>>> try:
... original = signer.unsign(value)
... except signing.BadSignature:
... print("Tampering detected!")
通常��,Signer類使用SECRET_KEY設(shè)置來生成簽名�����。你可以通過向Signer構(gòu)造器傳遞一個(gè)不同的密鑰來使用它:
>>> signer = Signer('my-other-secret')
>>> value = signer.sign('My string')
>>> value
'My string:EkfQJafvGyiofrdGnuthdxImIJw'
class Signer(key=None, sep=':', salt=None)[source]
返回一個(gè)signer�,它使用key 來生成簽名,并且使用sep來分割值���。sep 不能是 [URL安全的base64字母表(http://tools.ietf.org/html/rfc4648#section-5)]中的字符����。字母表含有數(shù)字�����、字母����、連字符和下劃線。
使用salt參數(shù)
如果你不希望對(duì)每個(gè)特定的字符串都生成一個(gè)相同的簽名哈希值��,你可以在Signer類中使用可選的salt 參數(shù)����。使用salt參數(shù)會(huì)同時(shí)用它和SECRET_KEY初始化簽名哈希函數(shù):
>>> signer = Signer()
>>> signer.sign('My string')
'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w'
>>> signer = Signer(salt='extra')
>>> signer.sign('My string')
'My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw'
>>> signer.unsign('My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw')
'My string'
以這種方法使用salt會(huì)把不同的簽名放在不同的命名空間中�。來自于單一命名空間(一個(gè)特定的salt值)的簽名不能用于在不同的命名空間中驗(yàn)證相同的純文本字符串��。不同的命名空間使用不同的salt設(shè)置��。這是為了防止攻擊者使用在一個(gè)地方的代碼中生成的簽名后的字符串���,作為使用不同salt來生成(和驗(yàn)證)簽名的另一處代碼的輸入��。
不像你的SECRET_KEY,你的salt參數(shù)可以不用保密���。
驗(yàn)證帶有時(shí)間戳的值
TimestampSigner是 Signer的子類����,它向值附加一個(gè)簽名后的時(shí)間戳����。這可以讓你確認(rèn)一個(gè)簽名后的值是否在特定時(shí)間段之內(nèi)被創(chuàng)建:
>>> from datetime import timedelta
>>> from django.core.signing import TimestampSigner
>>> signer = TimestampSigner()
>>> value = signer.sign('hello')
>>> value
'hello:1NMg5H:oPVuCqlJWmChm1rA2lyTUtelC-c'
>>> signer.unsign(value)
'hello'
>>> signer.unsign(value, max_age=10)
...
SignatureExpired: Signature age 15.5289158821 > 10 seconds
>>> signer.unsign(value, max_age=20)
'hello'
>>> signer.unsign(value, max_age=timedelta(seconds=20))
'hello'
class TimestampSigner(key=None, sep=':', salt=None)[source]
sign(value)[source]
簽名value,并且附加當(dāng)前的時(shí)間戳���。
unsign(value, max_age=None)[source]
檢查value是否在少于max_age 秒之前被簽名�,如果不是則拋出SignatureExpired異常����。max_age 參數(shù)接受一個(gè)整數(shù)或者datetime.timedelta對(duì)象����。
Changed in Django 1.8:
在此之前�����, max_age參數(shù)只接受整數(shù)���。
保護(hù)復(fù)雜的數(shù)據(jù)結(jié)構(gòu)
如果你希望保護(hù)一個(gè)列表��、元組或字典���,你可以使用簽名模塊的dumps 和 loads 函數(shù)來實(shí)現(xiàn)。它們模仿了Python的pickle模塊��,但是在背后使用了JSON序列化���。JSON可以確保即使你的SECRET_KEY被盜取�,攻擊者并不能利用pickle的格式來執(zhí)行任意的命令:
>>> from django.core import signing
>>> value = signing.dumps({"foo": "bar"})
>>> value
'eyJmb28iOiJiYXIifQ:1NMg1b:zGcDE4-TCkaeGzLeW9UQwZesciI'
>>> signing.loads(value)
{'foo': 'bar'}
由于JSON的本質(zhì)(列表和元組之間沒有原生的區(qū)別)��,如果你傳進(jìn)來一個(gè)元組,你會(huì)從signing.loads(object)得到一個(gè)列表:
>>> from django.core import signing
>>> value = signing.dumps(('a','b','c'))
>>> signing.loads(value)
['a', 'b', 'c']
dumps(obj, key=None, salt='django.core.signing', compress=False)[source]
返回URL安全����,sha1簽名的base64壓縮的JSON字符串。序列化的對(duì)象使用TimestampSigner來簽名�����。
loads(string, key=None, salt='django.core.signing', max_age=None)[source]
dumps()的反轉(zhuǎn)���,如果簽名失敗則拋出BadSignature異常�����。如果提供了max_age則會(huì)檢查它(以秒為單位)。
譯者:Django 文檔協(xié)作翻譯小組�,原文:Cryptographic signing。
本文以 CC BY-NC-SA 3.0 協(xié)議發(fā)布�,轉(zhuǎn)載請(qǐng)保留作者署名和文章出處。
Django 文檔協(xié)作翻譯小組人手緊缺��,有興趣的朋友可以加入我們�,完全公益性質(zhì)。交流群:467338606�����。
