使用Django 1.4开始,如果我们使用基于cookie的后端进行会话存储,我们现在可以获得免费的加密签名,这很棒。但是,如果我想在会话中存储潜在的敏感信息,该怎么办?理想情况下,我也会加密它。
这是一个真实的用例:我想在会话中存储一个临时令牌,允许我针对另一个服务发出请求(此令牌在一小时不活动后过期)。没有加密,任何人都可以获得此令牌并自行发出请求,我想避免。
我意识到当我把它放入会话时我可以加密/解密自己,但我想知道是否有办法自动为基于cookie的会话存储执行此操作。有没有人有任何想法?
答案 0 :(得分:1)
你应该继承signed session store并使其使用singing.dumps和signing.loads的版本,例如,用任何必需的算法加密腌制字符串(并在去除酸洗之前解密它) )。