Internal Server Error bei der Verwendung von Kolben-Sitzung

Will ich speichern eine ID zwischen Anforderungen, mit Kolben session cookie, aber ich bin immer ein Internal Server Error als Ergebnis,, wenn ich eine Anfrage.

Ich einen Prototypen einer einfachen Kolben-app für den Nachweis der mein problem:

#!/usr/bin/env python

from flask import Flask, session

app = Flask(__name__)

@app.route('/')
def run():
    session['tmp'] = 43
    return '43'

if __name__ == '__main__':
    app.run()

Warum ich nicht speichern kann die session cookie mit dem folgenden Wert, wenn ich die Anfrage?

Welche Fehler haben Sie?
Ich bin immer "no secret key wurde gesetzt" angezeigt. Aber ich dachte (offenbar falsch), der wurde automatisch gesetzt

InformationsquelleAutor sedavidw | 2013-08-09

50

Laut Kolben-Sitzungen-Dokumentation:

...
Was dies bedeutet ist, dass der Benutzer sich auf die Inhalte Ihrer
cookie aber nicht ändern, es sei denn, Sie wissen, die geheimen Schlüssel für die
signieren.

Um Sitzungen, die Sie haben, um einen geheimen Schlüssel.

Set geheimen Schlüssel. Und Sie soll eine Zeichenkette zurückgeben, nicht int.
```
#!/usr/bin/env python

from flask import Flask, session

app = Flask(__name__)

@app.route('/')
def run():
    session['tmp'] = 43
    return '43'

if __name__ == '__main__':
    app.secret_key = 'A0Zr98j/3yX R~XHH!jmN]LWX/,?RT'
    app.run()
```
- Dank der 43 int war ein Tippfehler. Sie erhalten die Antwort, wenn Sie die Frist bis
- Möchten Sie vielleicht zu erzeugen, den geheimen Schlüssel aus einer zufälligen Quelle, anstatt zu kodifizieren-ing es. Der geheime Schlüssel, auch die Größe zählt. Versuchen SECRET_KEY = open("/dev/random","rb").Lesen(32) . Siehe andorian.blogspot.com/2014/08/...
- Eigentlich habe ich verwendet os.urandom zu generieren, die zufällige bytes und gefiltert druckbaren ein. BTW, wenn du immer generieren ranodm Nummer jedes mal, wenn Sie auf dem server ausgeführt werden, wirst du Probleme haben. Zum Beispiel, wenn Sie mehrere Instanz-Kolben, alle Instanzen verfügen über den Unterschied geheimen Schlüssel.
- Yup, ich Stimme zu. In der Tat, bei der Arbeit, wir-cache-das Geheimnis einer Datei und Lesen Sie die Datei beim Start.
- Es kann sein, erwähnenswert, dass, wenn die kommenden über dieses Problem, setzt man Ihre SESSION_COOKIE_SECURE zu True, und dient über HTTP (z.B. für die Prüfung), das Ergebnis ist ähnlich wie das Problem hier erlebt (d.h. der cookie wird nicht gesetzt). In anderen Worten, ein Sicheres cookie wird nicht gespeichert, wenn nicht HTTPS.
- Reicht es aus, einfach die session kommt mit Fläschchen oder brauchen wir so etwas wie flask.pocoo.org/snippets/121 Becher-Sitzung
- Dieser geheime Schlüssel kann nicht immer noch die session-persistent in der Blaupause.... @falsetru
- Sorry, ich weiß nicht, Blaupause. Poste bitte eine getrennte Frage im detail, so dass andere können Sie Sie beantworten.
- Das ist interessant! Also, WARUM/WIE Sie mit diesem tool hier kann Dekodieren der Inhalt von "session-cookie"? Der funfact (bug) dieses tool, ist, dass, wenn die Decodierung, muss es erkennen, ein Wörterbuch (SecureCookieSession) aus mindestens zwei Tasten. oder anders, es gibt so etwas wie "[FEHLER: Keine JSON-Daten]". Aber die Tatsache (seltsam) ist, dass der SESSION-COOKIE ENTSCHLÜSSELT WERDEN KANN. Die Frage ist: wie geschieht dies?
- Ich wollte nicht Graben, in den Kolben code. Poste bitte eine eigene Frage, für andere kann Ihre Frage beantworten.
InformationsquelleAutor falsetru

Als @falsetru erwähnt, müssen Sie einen geheimen Schlüssel.

Bevor die session cookie an den browser des Benutzers, Fläschchen Zeichen der cookies in verschlüsselter Form, und das bedeutet nicht, dass Sie nicht entschlüsselt das cookie. Ich nehme an, dass der Kolben verfolgt die signierte cookies, so dass es durchführen können es die eigenen "Magie", um zu bestimmen, ob das cookie gesendet wurde zusammen mit der Anfrage (request-Header), wird ein gültiges cookie oder nicht.

Einige Methoden, die Sie verwenden können, die alle im Zusammenhang mit Flask Instanz der Klasse, in der Regel definiert als app:

Definition der secret_key variable für app Objekt

app.secret_key = b'6hc/_gsh,./;2ZZx3c6_s,1//'

mithilfe der config() Methode

app.config['SECRET_KEY'] = b'6hc/_gsh,./;2ZZx3c6_s,1//'

Verwendung einer externen Konfigurations-Datei für die gesamte Kolben-Anwendung

$ grep pyfile app.py
app.config.from_pyfile('flask_settings.cfg')

$ cat flask_settings.py
SECRET_KEY = b'6hc/_gsh,./;2ZZx3c6_s,1//'

Hier ist ein Beispiel (eine Adaption von dieser Artikel), die sich auf die ein klareres Bild der Flachmann session cookie, in Anbetracht der Beteiligung von Client-und Server-Seiten:

from flask import Flask, request, session                                       
import os                                                                       

app = Flask(__name__)                                                           

@app.route('/')                                                                 
def f_index():                                                               
    # Request Headers, sent on every request                                    
    print("\n\n\n[Client-side]\n", request.headers)                             
    if 'visits' in session:                                                     
        # getting value from session dict (Server-side) and incrementing by 1   
        session['visits'] = session.get('visits') + 1                           
    else:                                                                       
        # first visit, generates the key/value pair {"visits":1}                
        session['visits'] = 1                                                   
        # 'session' cookie tracked from every request sent                          
        print("[Server-side]\n", session)                                           
    return "Total visits:{0}".format(session.get('visits'))                     


if __name__ == "__main__":                                                      
    app.secret_key = os.urandom(24)                                             
    app.run()

Hier ist die Ausgabe:

$ python3 sessions.py 
* Serving Flask app "sessions" (lazy loading)
* Environment: production
WARNING: Do not use the development server in a production environment.
Use a production WSGI server instead.
* Debug mode: off
* Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)

[Client-side]
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Connection: keep-alive
Host: 127.0.0.1:5000
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.5

[Server-side]
<SecureCookieSession {'visits': 1}>
127.0.0.1 - - [12/Oct/2018 14:27:05] "GET /HTTP/1.1" 200 -


[Client-side]
Upgrade-Insecure-Requests: 1
Cookie: session=eyJ2aXNpdHMiOjF9.DqKHCQ.MSZ7J-Zicehb6rr8qw43dCVXVNA  # <--- session cookie
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Connection: keep-alive
Host: 127.0.0.1:5000
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.5

[Server-side]
<SecureCookieSession {'visits': 2}>
127.0.0.1 - - [12/Oct/2018 14:27:14] "GET /HTTP/1.1" 200 -

Haben Sie möglicherweise bemerkt, dass in dem Beispiel oben, ich bin mit der os lib und die urandom() Funktion, um zu generieren, Flask ' s secret-key, richtig?

Vom die offizielle doc:

Wie generieren die gute die geheimen Schlüssel

Einen geheimen Schlüssel sollte so zufällig wie möglich. Ihr Betriebssystem hat, Wege zu generieren, die ziemlich zufällige Daten basierend auf einem kryptographischen Zufallsgenerator. Verwenden Sie den folgenden Befehl aus, um schnell einen Wert generieren für Fläschchen.secret_key (oder SECRET_KEY):

$ python -c " import os; print(os.urandom(16))'

b'_5#y2L"F4Q8z\n\xec]/'

PLUS HINWEIS

Wie Sie sehen können, sind die Schöpfer der Kolben zu unterstützen, die Praxis der Verwendung os.urandom() für den Bau der Kolben geheimen Schlüssel, die aus älteren Versionen des Tools auf die neueste version. Also: warum @joshlsullivan ist Antwort erhalten downvotes (verdient ein upvote) und warum @MikhailKashkin schreibt, dass mit os.urandom() ist schreckliche Idee, sind Geheimnisse.

InformationsquelleAutor ivanleoncz

0

Unter app = Flask(__name__) Platz dieser: app.secret_key = os.urandom(24).
- Es war Teil der offiziellen docs an einem Punkt.
- Ich bin neugierig: warum ist das eine schreckliche Idee? Ich habe den Punkt, der mit einem anderen geheimen Schlüssel für jede Instanz der Anwendung, aber ich kann nicht sehen dies als eine Bedrohung für die Sicherheit (bitte, öffne meine Augen :)). Es ist ziemlich schlimm, dass wir immer noch Menschen hier SO einfach feuern downvotes, ohne jede Erklärung.
- Vereinbart. Nach unten Stimmen sind entmutigt zu. 🙂
- werfen Sie einen Blick auf meine Antwort. Es ist auf jeden Fall empfehlenswert, die von Kolben auf seiner offiziellen doc ;).
InformationsquelleAutor joshlsullivan

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.