Python 验证HTTP请求的源
我有两个系统需要谈谈。系统的设置如下:Python 验证HTTP请求的源,python,django,google-app-engine,encryption,cryptography,Python,Django,Google App Engine,Encryption,Cryptography,我有两个系统需要谈谈。系统的设置如下: 系统A,在谷歌应用程序引擎(GAE)上运行Django(Python 2.5) 系统B,在Ubuntu/Linux上通过Lighttpd运行Django(Python 2.6)(可能是nginx,更高版本) 系统A将定期使用向系统B发出请求(“请购单”) System B有一个Django应用程序设置,可以通过urls.py监听这些请求,类似于: urlpatterns = patterns('producer.views', url(r'^req
系统A系统Burls.pyurlpatterns = patterns('producer.views',
url(r'^requisition$', 'requisition', name='requisition'),
)
import json
from django.http import HttpResponse
def requisition(request):
" do something "
response = HttpResponse()
response['Content-type'] = 'application/json'
response.write(json.dumps(...))
return response
views.pyurlpatterns = patterns('producer.views',
url(r'^requisition$', 'requisition', name='requisition'),
)
import json
from django.http import HttpResponse
def requisition(request):
" do something "
response = HttpResponse()
response['Content-type'] = 'application/json'
response.write(json.dumps(...))
return response
- 检查IP地址是否来自GAE(但是我不知道GAE IP地址,它们可能会更改,并且可能被欺骗)
- 检查IP的反向DNS是否来自GAE(但是我不知道GAE的DNS条目是什么,如果它们将更改,并且可能被欺骗)
- 使用来自系统a的TLS客户端证书-但我不知道如何使用GAE实现这一点
- 根据共享的内容(如盐)进行挑战/响应
views.py...
from django.http import HttpResponseForbidden
def requisition(request):
" do something "
if not verify_request_origin():
return HttpResponseForbidden("Denied.")
response = HttpResponse()
...
系统B系统A谢谢您,我期待听到您的想法。听起来在链接上使用SSL并在查询字符串中包含密码就足够了
SSL阻止了嗅探器,并且您不会在您控制的系统之外泄露查询,因此共享机密就可以了(而且比IP跟踪更安全,因为其他GAE站点将使用这些地址)。您很清楚,前两个要点没有用
上面说的密码就足够了,除非你担心浏览器缓存的问题。如果您是,那么您仍然应该使用SSL,但要通过(例如)对一个应用程序与另一个应用程序进行身份验证,并使用该身份验证为会话生成共享密钥。秘密应该存在于代码中,而不是传输的数据中 系统A可以通过发送HTTPS请求——只需让URL参数以
HTTPS://因此,考虑到GAE的局限性,使用共享秘密加密有效负载似乎是最简单的。--可能是前面的-,可能是好的;或者,您可能想尝试一下(当然,我对后者有一个弱点;-).一个防弹选项是查看FOAF+SSL无需加密有效负载-事实上,在没有HMAC的情况下这样做并不能保证完整性。简单地应用HMAC是最简单的方法。我不确定我是否理解最后一条评论。你说的秘密应该存在于代码中而不是传输中是什么意思加密数据?你是说共享密钥吗?