我有一个使用Google Oauth 2.0身份验证的Tornado应用,获取电子邮件并将其设置为Cookie。现在我不希望任何其他人访问此cookie,复制该值并在我的应用程序上获取其他用户的详细信息。所以我想制作这个Cookie httponly和secure Cookie。但是,当我将这些作为参数传递时,它无法设置cookie:
self.set_secure_cookie('trakr', email, secure=True, httponly=True)
我起诉Tornado 3.2.2和Python 2.7.5。
由于无法设置Cookie,因此会继续重定向到Google身份验证页面。这是我的代码:
class GAuthLoginHandler(BaseHandler, tornado.auth.GoogleOAuth2Mixin):
@tornado.gen.coroutine
def get(self):
if self.get_current_user():
self.redirect('/products')
return
if self.get_argument('code', False):
user = yield self.get_authenticated_user(redirect_uri=settings.google_redirect_url,
code=self.get_argument('code'))
if not user:
self.clear_all_cookies()
raise tornado.web.HTTPError(500, 'Google authentication failed')
access_token = str(user['access_token'])
http_client = self.get_auth_http_client()
response = yield http_client.fetch('https://www.googleapis.com/oauth2/v1/userinfo?access_token='+access_token)
user = json.loads(response.body)
self.set_secure_cookie('trakr', user['email'], secure=True, httponly=True)
self.redirect(self.get_argument("next", "/products"))
return
elif self.get_secure_cookie('trakr'):
self.redirect('/products')
return
else:
yield self.authorize_redirect(
redirect_uri=settings.google_redirect_url,
client_id=self.settings['google_oauth']['key'],
scope=['email'],
response_type='code',
extra_params={'approval_prompt': 'auto'})
当我删除secure和httponly参数时,代码完全正常。如果我只发送httponly参数,它也可以工作,但是当我传递两个参数时它似乎没有设置cookie。
我做错了吗?
答案 0 :(得分:3)
问题不在于Tornado或Python,而在于我的服务器,因为我没有使用HTTPS:
安全cookie启用了安全属性,仅用于通过 HTTPS,确保在传输时始终加密cookie 从客户端到服务器。这使得cookie不太可能暴露 通过窃听偷窃cookie。除此之外,所有的cookie 受浏览器的同源政策约束。