АП
подпись чем? секрет же - не ключ
Подпись на оновании секрета.
Size: a a a
2020 April 27
T
сессия устанавливает куки. отлавливаю, пишу в базу, отправляю клиенту. он отвечает. если куки не совпадают - редирект на форму логина
вот тебе пришли 1000 клиентов. Ты в базу сохранил 1000 записей. Потом тебе пришел запрос - с чем сравнивать?
АП
сессия устанавливает куки. отлавливаю, пишу в базу, отправляю клиенту. он отвечает. если куки не совпадают - редирект на форму логина
Это не так работает.
N
вот тебе пришли 1000 клиентов. Ты в базу сохранил 1000 записей. Потом тебе пришел запрос - с чем сравнивать?
вместо "session=." в куки писать айди клиента. и по нему сравнивать
АП
вместо "session=." в куки писать айди клиента. и по нему сравнивать
Иди читай как сессии работают.
N
Это не так работает.
ткни, плиз, носом, что именно почитать?
T
вместо "session=." в куки писать айди клиента. и по нему сравнивать
господи, ну блин я тебе сказал - возьми другой движок сессий, он так и работает
АП
вот пример:
первый ответ от клиента:
Cookie: treehouse=value; session=eyJfZnJlc2giOmZhbHNlLCJjc3JmX3Rva2VuIjoiNmUwOTcxODE0ODUzNTNiZThiODViNTA1ZWJlOWI1YmQ3NDJkZTAyYSJ9.XqbOlw.EiZDczUJPc87XJ4acOQaThQbCQA
а вот второй, и они не совпадают с первым:
Cookie: treehouse=value; session=.eJwNyksKgCAQANC7zFrE3_i7jDg5EhQFWqvo7vXW74HSB88Vcq_7ZAHLHL1c58YHZPCsUtBRu4gWLXGkiIQKmTgRUgvONFamgoC7_l8HI7WXBmWw8H4i0xn7.XqbOrA.gYpZ6pj7tr
Хочется перед ответом писать их в базу, и при ответе клиента их сверять.
первый ответ от клиента:
Cookie: treehouse=value; session=eyJfZnJlc2giOmZhbHNlLCJjc3JmX3Rva2VuIjoiNmUwOTcxODE0ODUzNTNiZThiODViNTA1ZWJlOWI1YmQ3NDJkZTAyYSJ9.XqbOlw.EiZDczUJPc87XJ4acOQaThQbCQA
а вот второй, и они не совпадают с первым:
Cookie: treehouse=value; session=.eJwNyksKgCAQANC7zFrE3_i7jDg5EhQFWqvo7vXW74HSB88Vcq_7ZAHLHL1c58YHZPCsUtBRu4gWLXGkiIQKmTgRUgvONFamgoC7_l8HI7WXBmWw8H4i0xn7.XqbOrA.gYpZ6pj7tr
Хочется перед ответом писать их в базу, и при ответе клиента их сверять.
{"_fresh":false,"csrf_token":"6e097181485353be8b85b505ebe9b5bd742de02a"}^Η "d73P AA вот твоя сессия, и там внезаптно то что ты задал.
АП
ткни, плиз, носом, что именно почитать?
Дока фласка.
ПП
сессия устанавливает куки. отлавливаю, пишу в базу, отправляю клиенту. он отвечает. если куки не совпадают - редирект на форму логина
АП
Сессия во фласке это словарь, закодированый в бейс64 и подписаный чтобы его нельзя было подделать. Всё. Ложи туда свой user_id и у тебя будет гарантия что этот user_id был выдан этому клиенту именно тобой.
T
*клади
T
я бы отдал клиенту рандомный айди сессии и хранил всё в базе просто
T
тогда кука будет фиксироанная и не надо париться о рейсах между запросами клиента
N
LoginManager видел, понять до конца не понял. но что под капотом? хз как оно работает
АП
я бы отдал клиенту рандомный айди сессии и хранил всё в базе просто
О, стейтфул.
АП
тогда кука будет фиксироанная и не надо париться о рейсах между запросами клиента
Не будет она фиксирована.
N
О, стейтфул.
ага!!!
T
Не будет она фиксирована.
ну, она будет выставляться приавторизации и сбрасываться по таймауту
АП
LoginManager видел, понять до конца не понял. но что под капотом? хз как оно работает
С помощью сессий оно работает.