Криптографическая подпись¶
Золотое правило безопасности веб-приложений — никогда не доверять данным из ненадежных источников. Иногда может быть полезно передать данные через ненадежный носитель. Значения с криптографической подписью можно передавать по недоверенному каналу, зная, что любое вмешательство будет обнаружено.
Django предоставляет как низкоуровневый API для подписи значений, так и высокоуровневый API для установки и чтения подписанных файлов cookie, что является одним из наиболее распространенных вариантов использования подписи в веб-приложениях.
Вы также можете найти подпись полезной для следующего:
Генерация URL для восстановления аккаунта пользователя, которые будут отправлены пользователю, потерявшему свой пароль.
Проверка целостности данных, спрятанных в скрытом поле формы.
Генерация одноразового секретного URL для обеспечения временного доступа к защищённому ресурсу, например на скачивание файла за который заплатил пользователь.
Protecting the SECRET_KEY¶
При создании нового Django проекта с помощью startproject автоматически генерируется файл settings.py и определяется случайное значение SECRET_KEY. Это значение является ключевым аспектом защиты подписанных данных – очень важно сохранять его в тайне. В противном случае у сторонних людей появляется возможность генерировать собственные подписанные значения.
Использование низкоуровневого API¶
Django’s signing methods live in the django.core.signing module.
To sign a value, first instantiate a Signer instance:
>>> from django.core.signing import Signer
>>> signer = Signer()
>>> value = signer.sign('My string')
>>> value
'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w'
The signature is appended to the end of the string, following the colon.
You can retrieve the original value using the unsign method:
>>> original = signer.unsign(value)
>>> original
'My string'
If you pass a non-string value to sign, the value will be forced to string
before being signed, and the unsign result will give you that string
value:
>>> signed = signer.sign(2.5)
>>> original = signer.unsign(signed)
>>> original
'2.5'
If you wish to protect a list, tuple, or dictionary you can do so using the
sign_object() and unsign_object() methods:
>>> signed_obj = signer.sign_object({'message': 'Hello!'})
>>> signed_obj
'eyJtZXNzYWdlIjoiSGVsbG8hIn0:Xdc-mOFDjs22KsQAqfVfi8PQSPdo3ckWJxPWwQOFhR4'
>>> obj = signer.unsign_object(signed_obj)
>>> obj
{'message': 'Hello!'}
Дополнительную информацию см. в Защита сложных структур данных.
If the signature or value have been altered in any way, a
django.core.signing.BadSignature exception will be raised:
>>> from django.core import signing
>>> value += 'm'
>>> try:
... original = signer.unsign(value)
... except signing.BadSignature:
... print("Tampering detected!")
By default, the Signer class uses the SECRET_KEY setting to
generate signatures. You can use a different secret by passing it to the
Signer constructor:
>>> signer = Signer('my-other-secret')
>>> value = signer.sign('My string')
>>> value
'My string:EkfQJafvGyiofrdGnuthdxImIJw'
- class Signer(key=None, sep=':', salt=None, algorithm=None)¶
Returns a signer which uses
keyto generate signatures andsepto separate values.sepcannot be in the URL safe base64 alphabet. This alphabet contains alphanumeric characters, hyphens, and underscores.algorithmmust be an algorithm supported byhashlib, it defaults to'sha256'.Changed in Django 3.1:The
algorithmparameter was added.
The sign_object() and unsign_object() methods were added.
Использование аргумента salt¶
If you do not wish for every occurrence of a particular string to have the same
signature hash, you can use the optional salt argument to the Signer
class. Using a salt will seed the signing hash function with both the salt and
your SECRET_KEY:
>>> signer = Signer()
>>> signer.sign('My string')
'My string:GdMGD6HNQ_qdgxYP8yBZAdAIV1w'
>>> signer.sign_object({'message': 'Hello!'})
'eyJtZXNzYWdlIjoiSGVsbG8hIn0:Xdc-mOFDjs22KsQAqfVfi8PQSPdo3ckWJxPWwQOFhR4'
>>> signer = Signer(salt='extra')
>>> signer.sign('My string')
'My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw'
>>> signer.unsign('My string:Ee7vGi-ING6n02gkcJ-QLHg6vFw')
'My string'
>>> signer.sign_object({'message': 'Hello!'})
'eyJtZXNzYWdlIjoiSGVsbG8hIn0:-UWSLCE-oUAHzhkHviYz3SOZYBjFKllEOyVZNuUtM-I'
>>> signer.unsign_object('eyJtZXNzYWdlIjoiSGVsbG8hIn0:-UWSLCE-oUAHzhkHviYz3SOZYBjFKllEOyVZNuUtM-I')
{'message': 'Hello!'}
Использование «соли» размещает разные сигнатуры в разных именованных областях. Сигнатура из одной области (определённая значением «соли») не может быть использована для проверки исходной строки текста в другой именованной области (другое значение «соли»). Результатом является невозможность использовать атакующим строки, подписанные в одном месте, в качестве источника данных в другом.
В отличие от значения SECRET_KEY, ваша «соль» не является секретом.
The sign_object() and unsign_object() methods were added.
Проверка значений с подписанным слепком времени¶
TimestampSigner is a subclass of Signer that appends a signed
timestamp to the value. This allows you to confirm that a signed value was
created within a specified period of time:
>>> from datetime import timedelta
>>> from django.core.signing import TimestampSigner
>>> signer = TimestampSigner()
>>> value = signer.sign('hello')
>>> value
'hello:1NMg5H:oPVuCqlJWmChm1rA2lyTUtelC-c'
>>> signer.unsign(value)
'hello'
>>> signer.unsign(value, max_age=10)
...
SignatureExpired: Signature age 15.5289158821 > 10 seconds
>>> signer.unsign(value, max_age=20)
'hello'
>>> signer.unsign(value, max_age=timedelta(seconds=20))
'hello'
- class TimestampSigner(key=None, sep=':', salt=None, algorithm='sha256')¶
- sign(value)¶
Подписывает
valueи добавляет текущее время к нему.
- unsign(value, max_age=None)¶
Проверяет, был ли подписан
valueменьше чемmax_ageсекунд назад, иначе выбрасывает исключениеSignatureExpired. Параметрmax_ageможет принимать как целое, так и объект видаdatetime.timedelta.
- sign_object(obj, serializer=JSONSerializer, compress=False)¶
- New in Django 3.2.
Кодируйте, при необходимости сжимайте, добавляйте текущую метку времени и подписывайте сложную структуру данных (например, список, кортеж или словарь).
- unsign_object(signed_obj, serializer=JSONSerializer, max_age=None)¶
- New in Django 3.2.
Проверяет, был ли подписан
signed_objменееmax_ageсекунд назад, в противном случае вызываетSignatureExpired. Параметр max_age может принимать целое число или объектdatetime.timedelta.
Changed in Django 3.1:The
algorithmparameter was added.
Защита сложных структур данных¶
If you wish to protect a list, tuple or dictionary you can do so using the
Signer.sign_object() and unsign_object() methods, or signing module’s
dumps() or loads() functions (which are shortcuts for
TimestampSigner(salt='django.core.signing').sign_object()/unsign_object()).
These use JSON serialization under the hood. JSON ensures that even if your
SECRET_KEY is stolen an attacker will not be able to execute
arbitrary commands by exploiting the pickle format:
>>> from django.core import signing
>>> signer = signing.TimestampSigner()
>>> value = signer.sign_object({'foo': 'bar'})
>>> value
'eyJmb28iOiJiYXIifQ:1kx6R3:D4qGKiptAqo5QW9iv4eNLc6xl4RwiFfes6oOcYhkYnc'
>>> signer.unsign_object(value)
{'foo': 'bar'}
>>> value = signing.dumps({'foo': 'bar'})
>>> value
'eyJmb28iOiJiYXIifQ:1kx6Rf:LBB39RQmME-SRvilheUe5EmPYRbuDBgQp2tCAi7KGLk'
>>> signing.loads(value)
{'foo': 'bar'}
Because of the nature of JSON (there is no native distinction between lists
and tuples) if you pass in a tuple, you will get a list from
signing.loads(object):
>>> from django.core import signing
>>> value = signing.dumps(('a','b','c'))
>>> signing.loads(value)
['a', 'b', 'c']
- dumps(obj, key=None, salt='django.core.signing', serializer=JSONSerializer, compress=False)¶
Возвращает URL-безопасную подписанную сжатую строку JSON в формате Base64. Сериализованный объект подписывается с помощью
TimestampSigner.
- loads(string, key=None, salt='django.core.signing', serializer=JSONSerializer, max_age=None)¶
Обратный методу``dumps()``, вызывает исключение
BadSignature, если проверка подписи не пройдена. Проверяетmax_age(в секундах) при его наличии.
The sign_object() and unsign_object() methods were added.