Python 龙卷风安全问题
我不熟悉python框架Tornado。我发现,它不支持会话,身份验证是使用安全cookie完成的 但它到底有多安全呢 我做了一件简单的事情来测试它。我登录到应用程序,使用导出cookies,然后注销。之后,我简单地导入了cookie,现在我登录到了应用程序中 我尝试了两个应用程序,声称使用了tornado,在两种情况下都得到了相同的结果 这是意料之中的事吗?还是有更好的方法来保护tornado应用程序Python 龙卷风安全问题,python,security,cookies,tornado,Python,Security,Cookies,Tornado,我不熟悉python框架Tornado。我发现,它不支持会话,身份验证是使用安全cookie完成的 但它到底有多安全呢 我做了一件简单的事情来测试它。我登录到应用程序,使用导出cookies,然后注销。之后,我简单地导入了cookie,现在我登录到了应用程序中 我尝试了两个应用程序,声称使用了tornado,在两种情况下都得到了相同的结果 这是意料之中的事吗?还是有更好的方法来保护tornado应用程序 我试着从tornado网站上下载了一个,发现了与预期行为相同的问题。安全cookie是浏览器
我试着从tornado网站上下载了一个,发现了与预期行为相同的问题。安全cookie是浏览器用来证明其已登录的令牌。如果您将cookie从浏览器移动到硬盘,然后将其重新导入浏览器,浏览器可以再次向Tornado应用程序证明它已登录。因此Tornado不会在用户注销时使cookie无效?Tornado(以及绝大多数web框架)的标准行为当用户注销时,Tornado会告诉浏览器清除其cookie。看见在最初的问题中,@dev_avatar告诉他们的浏览器重新加载cookie,所以它再次登录。这就是cookie身份验证的典型工作方式。