跨站请求伪造CSRF

开启xsrf(就是叫法不一样和csrf一样),'xsrf_cookies':True

settings = {

    'template_path':'template',

    'static_path':'static',

    'static_path_prefix':'/static/',

    'xsrf_cookies':True,

}

在post表单中增加csrf认证

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <link href="{{static_url("commons.css")}}" rel="stylesheet" />

</head>

<body>

<h1>index.html</h1>

<h1>{{ name }}</h1>

<form action="/index" method="post">
    {% module xsrf_form_html() %}

    <p>user:<input type="text"/></p>

    <p>password:<input type="password" /> </p>

    <input type="submit" value="submit" />

</form>

</body>

</html>

网站请求效果(表单中没有增加认证token):

加上token

AJAX方法

官方提供:

获取cookie的token信息  args._xsrf = getCookie("_xsrf");
function getCookie(name) {

    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");

    return r ? r[1] : undefined;

}

jQuery.postJSON = function(url, args, callback) {

    args._xsrf = getCookie("_xsrf");

    $.ajax({url: url, data: $.param(args), dataType: "text", type: "POST",

        success: function(response) {

        callback(eval("(" + response + ")"));

    }});

};

UI(自定义标签)

自定义有两种方式:uimethods(方法)和uimodule(模块)

创建玩一下uimethods,新创建一个py文件

#_*_coding:utf-8_*_

def abcd(self):

    return '自定义uimethod方法'

uimethods

主文件

#_*_coding:utf-8_*_

import tornado.ioloop

import tornado.web
#导入UImethod

import uimethods

#'ui_methods':uimethods  设置下即可

settings = {

    'template_path':'template',

    'static_path':'static',

    'static_path_prefix':'/static/',

    'ui_methods':uimethods

}

class MainHandler(tornado.web.RequestHandler):

    def get(self):

        dic={'name':'abc'}

        self.render('index.html',**dic)

app=tornado.web.Application([

        (r"/index", MainHandler),

    ],**settings)

if __name__ == "__main__":

    app.listen(8888)

    tornado.ioloop.IOLoop.current().start()

html页面中加入自定方法即可

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <link href="{{static_url("commons.css")}}" rel="stylesheet" />

</head>

<body>

<h1>index.html</h1>

//自定义方法

{{abcd()}}

</body>

</html>

演示效果

自定义uimedule(代码改动不多)

html文件

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <link href="{{static_url("commons.css")}}" rel="stylesheet" />

</head>

<body>

<h1>index.html</h1>

<p>{{abcd()}}</p>

<p>自定义module</p>

//这里可以传递参数

{% module test_mod(123) %}

</body>

</html>

html

uimodules文件

#_*_coding:utf-8_*_

from tornado.web import UIModule

class test_mod(UIModule):

    #render是死的 最后返回的就是这个方法

    def render(self, *args, **kwargs):

        return 'uimodule.', args

uimodules

主文件

#_*_coding:utf-8_*_

import tornado.ioloop

import tornado.web

import uimethods

import uimodules

settings = {

    'template_path':'template',

    'static_path':'static',

    'static_path_prefix':'/static/',

    'ui_methods':uimethods,

    'ui_modules':uimodules,

}

class MainHandler(tornado.web.RequestHandler):

    def get(self):

        dic={'name':'abc'}

        self.render('index.html',**dic)

app=tornado.web.Application([

        (r"/index", MainHandler),

    ],**settings)

if __name__ == "__main__":

    app.listen(8888)

    tornado.ioloop.IOLoop.current().start()

运行效果:

自定义当方法在以后的应用是很广泛的,tornado 的方法不熟悉,完全可以用这个方法自己写

用户认证

简单说一下session和cookie 关系

      由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个用户,并且跟踪用户,这样才知道购物车里面有几本书。这个Session是保存在服务端的,有一个唯一标识。在服务端保存Session的方法很多,内存、数据库、文件都有。集群的时候也要考虑Session的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候 Session 信息都是放在内存的,使用一些缓存服务比如Memcached之类的来放 Session。
简图:

上图可以看出cookie中不会存在敏感信息,重要的信息存储在服务器端的session中

Tornado是没有session 的,如下图这么处理的

这个方法不怎么安全,连接Tornado机制的就很容易伪造

实现tornado源生验证(很少会用这个方式来完成登陆验证)

主文件

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import tornado.ioloop

import tornado.web

class MainHandler(tornado.web.RequestHandler):

    def get(self):

        #从cookie中获取key=login_user的值

        login_user = self.get_secure_cookie("login_user", None)

        if login_user:

            #获取cookie成功就打印这个登陆名

            self.write(login_user)

        else:

            self.redirect('/login')

class LoginHandler(tornado.web.RequestHandler):

    def get(self):

        #self.current_user()

        self.render('login.html', **{'status': ''})

    def post(self, *args, **kwargs):

        #获取前端传递过来的 name和password

        username = self.get_argument('username')

        password = self.get_argument('password')

        if username == 'lily0912' and password == '':

            #登陆成功就设置cookie,key=login_user,值=lily0912

            self.set_secure_cookie('login_user', 'lily0912')

            #跳转到首页

            self.redirect('/index')

        else:

            self.render('login.html', **{'status': 'name or password error!!!!'})

settings = {

    'template_path': 'template',

    'static_path': 'static',

    'static_url_prefix': '/static/',

    'cookie_secret': 'asdassdasdsd123'

}

application = tornado.web.Application([

    (r"/index", MainHandler),

    (r"/login", LoginHandler),

], **settings)

if __name__ == "__main__":

    application.listen(8888)

    tornado.ioloop.IOLoop.instance().start()

html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>Title</title>

    <link href="{{static_url("commons.css")}}" rel="stylesheet" />

</head>

<body>

<h1>登陆</h1>

<form action="/login" method="post">

    <p>user:<input name="username" type="text"/></p>

    <p>password:<input name="password" type="password" /> </p>

    <input type="submit" value="submit" />

</form>

</body>

</html>

login

验证:

登陆成功后跳转页面,然后可以看到服务器给客户端的cookie信息。

自定义session验证

写cookie过程:

  • 将值进行base64加密
  • 对除值意外的内容进行签名,哈希算法(无法逆向解析)
  • 拼接 签名 + 加密值

读cookie过程:

  • 读取 签名 + 加密值
  • 对签名进行验证
  • base64解密,获取值内容

所以,我们会将base64加密的值返回给用户。而对于session,他只会将签名返回给用户,然后根据签名获取redis或数据库中保存的其他值。即:在session中,签名和session值的集合是一一对应的。

python魔法方法(为tornado 增加session功能就靠它了)

简单说下这个例子是python模仿字典工作

class Foo(object):

  def __init__(self, key, value):

    self.key = []

    self.value = []

    self.key.append(key)

    self.value.append(value)

  def __len__(self):

    return len(self.key)

  def __getitem__(self, item):

    try:

      __index = self.key.index(item)

      return self.value[__index]

    except ValueError:

      raise KeyError('can not find the key')

  def __setitem__(self, key, value):

    if key not in self.key:

      self.key.append(key)

      self.value.append(value)

    else:

      __index = self.key.index(key)

      self.value[__index] = value

  def __delitem__(self, key):

    try:

      __index = self.key.index(key)

      del self.key[__index]

      del self.value[__index]

    except ValueError:

      raise KeyError('can not find the key')

  def __str__(self):

    result_list = []

    for index in xrange(len(self.key)):

      __key = self.key[index]

      __value = self.value[index]

      result = __key, __value

      result_list.append(result)

    return str(result_list)

  def __iter__(self):

    self.__index = 0

    return self

  def next(self):

    if self.__index == len(self.key):

      self.__index = 0

      raise StopIteration()

    else:

      __key = self.key[self.__index]

      __value = self.value[self.__index]

      result = __key, __value

      self.__index += 1

      return result

  def __reversed__(self):

    __result = self.value[:]

    __result.reverse()

    return __result

  def __contains__(self, item):

    if item in self.value:

      return True

    else:

      return False

a = Foo('scolia', 'good')

a[123] = 321

a[456] = 654

a[789] = 987

print a.key

print len(a)

del a[789]

print a

for x, y in a:

  print x, y

print reversed(a)

print 123 in a

print 321 in av

演示代码

['scolia', 123, 456, 789]

4

[('scolia', 'good'), (123, 321), (456, 654)]

scolia good

123 321

456 654

[654, 321, 'good']

False

True

执行结果

这个东西没有弄过的的熟悉一下。确实有的魔法的感觉。

Tornado 实现session

显示熟悉一下流程

application = tornado.web.Application([
(r"/index", MainHandler),
(r"/login", LoginHandler),
], **settings)

根据url匹配都会找到对应的类比如:class LoginHandler(tornado.web.RequestHandler)

都会继承这个tornado.web.RequestHandler父类,首先父类会初始化RequestHandler.__init__() ,最后还调用self.initialize(**kwargs)了这个类。这个里面什么都没有。主要是留给我扩展用的

最后执行LoginHandler 类中的方法

我们有做的就是在执行LoginHandler方法之前  生成session 就OK了。

可以这么做:

自己写个基类继承tornado.web.RequestHandler 
class BaseHandler(tornado.web.RequestHandler):

      #继承后直接改写这个方法就行
      def initialize(self):
        在这里写session内容就OK了

        pass

下面的子类直接继承BaseHandler

class MainHandler(BaseHandler):

class LoginHandler(BaseHandler):

OK现在开始实现session

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import tornado.ioloop

import tornado.web

from hashlib import sha1

import os, time

#生成session id

session_id=lambda: sha1('%s%s' % (os.urandom(16), time.time())).hexdigest()

class Session(object):

    def __init__(self,obj):

        self.obj=obj

    def __getitem__(self, key):

        pass

    def __setitem__(self, key, value):

        #创建session_id

        token=session_id()

        #设置cookie的 key这个无所谓,起个名就行

        cookie_key='_session'

        self.obj.set_secure_cookie(cookie_key,token)

    def __delitem__(self, key):

        pass

class BaseHandler(tornado.web.RequestHandler):

    def initialize(self):

        #将self传递给session方法,原因很简单Session方法本身无法将cookie写入LoginHandle对象中。因为它没有这个方法

        self.mysesson=Session(self)

class MainHandler(BaseHandler):

    def get(self):

        #从cookie中获取key=login_user的值

        login_user = self.get_secure_cookie("login_user", None)

        if login_user:

            #获取cookie成功就打印这个登陆名

            self.write(login_user)

        else:

            self.redirect('/login')

#RequestHandler.__init__()实例化方法

class LoginHandler(BaseHandler):

    def get(self):

        #self.current_user()

        self.render('login.html', **{'status': ''})

    def post(self, *args, **kwargs):

        username = self.get_argument('username')

        password = self.get_argument('password')

        if username == 'lily0912' and password == '':

            #self.set_secure_cookie('login_user', 'lily0912')

            #成功登陆就设置状态True

            self.mysesson['login_status']='True'

            self.redirect('/index')

        else:

            self.render('login.html', **{'status': 'name or password error!!!!'})

settings = {

    'template_path': 'template',

    'static_path': 'static',

    'static_url_prefix': '/static/',

    'cookie_secret': 'asdassdasdsd123'

}

application = tornado.web.Application([

    (r"/index", MainHandler),

    (r"/login", LoginHandler),

], **settings)

if __name__ == "__main__":

    application.listen(8888)

    tornado.ioloop.IOLoop.instance().start()

看下session是否写入成功

Tornado(二)的更多相关文章

  1. web框架详解之tornado 二 cookie

    一.tornado之cookie一 目录: <!DOCTYPE html> <html lang="en"> <head> <meta c ...

  2. tornado 01 路由、输入与输出

    tornado 01 路由.输入与输出 一.安装tornado pyvip@Vip:~$ workon py3env #安装python3的虚拟环境 (py3env) pyvip@Vip:~$ pip ...

  3. tornado框架的简单实用

    一.安装模块 pip3 install tornado 二.简单的起服务的方法 import json, datetime from tornado.web import RequestHandler ...

  4. Python之Tornadoweb框架使用

    本文主要讲解Tornadoweb框架的安装和介绍及其简单使用. 一. 安装介绍 Tornado是一个Python Web框架和异步网络库,最初是在FriendFeed上开发的.通过使用非阻塞网络I / ...

  5. pip下载加速的方式

    两种方式 一.临时方式 可以在使用pip的时候加参数-i https://pypi.tuna.tsinghua.edu.cn/simple. 例如下载或者更新: 下载:pip install -i h ...

  6. Python框架之Tornado(二)请求阶段

    概述 上图是tornado程序启动以及接收到客户端请求后的整个过程,对于整个过程可以分为两大部分: 启动程序阶段,又称为待请求阶段(上图1.2所有系列和3.0) 接收并处理客户端请求阶段(上图3系列) ...

  7. 【tornado】系列项目(二)基于领域驱动模型的区域后台管理+前端easyui实现

    本项目是一个系列项目,最终的目的是开发出一个类似京东商城的网站.本文主要介绍后台管理中的区域管理,以及前端基于easyui插件的使用.本次增删改查因数据量少,因此采用模态对话框方式进行,关于数据量大采 ...

  8. tornado框架之路二

    二.路由系统 路由系统其实就是 url 和 类 的对应关系,这里不同于其他框架,其他很多框架均是 url 对应 函数,Tornado中每个url对应的是一个类. #!/usr/bin/env pyth ...

  9. python运维开发(二十二)---JSONP、瀑布流、组合搜索、多级评论、tornado框架简介

    内容目录: JSONP应用 瀑布流布局 组合搜索 多级评论 tornado框架简介 JSONP应用 由于浏览器存在同源策略机制,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性. ...

随机推荐

  1. constant value too large

    出错现场: .model small .data byte_var dw dup(-, dup()) .stack .code 将byte_var dw 'abc',10h,2 dup(-1,2 du ...

  2. JAVA多线程提高十三:同步集合类的应用

    1.引言 在多线程的环境中,如果想要使用容器类,就需要注意所使用的容器类是否是线程安全的.在最早开始,人们一般都在使用同步容器(Vector,HashTable),其基本的原理,就是针对容器的每一个操 ...

  3. 你知道吗?衡量 Web 性能的几个关键指标

    自网站诞生以来,响应速度/响应时间一直都是大家关心的话题,而速度慢乃是网站的一个杀手,正当大家以为四核和宽带能力的提升能够解决这些问题时,Wi-Fi和移动设备为热点移动互联网又悄然兴起. 在2006年 ...

  4. 51nod 1217 Minimum Modular

    N个不同的数a[1],a[2]...a[n],你可以从中去掉K个数,并且找到一个正整数M,使得剩下的N - K个数,Mod M的结果各不相同,求M的最小值. Input 第1行:2个数N, K,中间用 ...

  5. Linux Deploy 使用 Repository部署Linux系统

    Linux Deploy 使用 Repository部署Linux系统 为了解决镜像不稳定导致包下载错误,能得到一个稳定环境,可以使用linux deploy导出功能. 这里提供两个制作好的包 用户名 ...

  6. Mac最新系统bssdb BUG

    这个bug在Mac OS更新到10.14时候出现,当前系统版本 ➜ git:(master) sw_vers ProductName: Mac OS X ProductVersion: 10.14 B ...

  7. 在Oracle中查询表的大小

    SELECT segment_name AS TABLENAME,round(BYTES/1024/1024,2)  FROM user_segments WHERE segment_name='表名 ...

  8. Deep Learning基础--Softmax求导过程

    一.softmax函数 softmax用于多分类过程中,它将多个神经元的输出,映射到(0,1)区间内,可以看成概率来理解,从而来进行多分类! 假设我们有一个数组,V,Vi表示V中的第i个元素,那么这个 ...

  9. “您查看的网页正在试图关闭窗口。是否关闭此窗口”的屏蔽方法(JavaScript)

    原文:http://www.cnblogs.com/tigerhuolh/archive/2011/04/14/2015634.html 用JS代码关闭窗口时会提示“您查看的网页正在试图关闭窗口.是否 ...

  10. linux下查看资源使用情况

    //查看占用内存最多的前K的程序ps aux | sort -k4nr | head -K //查看占用CPU最多的前K的程序 ps aux | sort -k3nr | head -K