这一节我们介绍应用安全与认证,其实中间省略了一个数据库。对于tornado来说,如果是MySQL的话,那么可以使用tornado_mysql,或者使用tcelery,通过pip install tornado_celery,具体的便不介绍了。
直接进入今天的主题内容。
1.cookie
cookie是储存在客户端的键值对,保存了用户的信息。我们都知道http协议时无状态的,只知道有人链接就行进行交互,但是却不知道是谁。于是这个时候cookie就出现了,当我们第一次访问的时候,服务端就会创建一个cookie然后返回给我们,当我们下次再访问的时候就带着之前的cookie过去就行了,所以我们明明没有输入用户名和密码,却自动登录了,就是因为cookie。当我们换一个浏览器,或者清理垃圾,把cookie删除了,那么就又需要重新登录了。既然提到cookie就要说到session,session是我们人工引入的一个抽象概念,session的实现需要依赖于cookie。当我们的身份信息比较重要时,那么将信息存储在cookie中会不安全,所以session就出现了,服务端把不把敏感信息返回了,而是返回一个随机密串,也就是session id,将这个session id作为cookie值返回给客户端。这个session id和存储在服务端的个人信息会有一个对应关系。当客户端下次再访问的时候,只需要带着session id过来就行,将session id对应的用户信息展示出来。所以session是我们人工引入的一个抽象概念,session的实现依赖于cookie。
那么在tornado中如何设置cookie呢?首先在tornado中,可以设置两种cookie,一个是普通cookie,另一种是加密cookie
设置普通cookie
self.set_cookie()