pyramid-signed-params 0.1b5

说明

这个包为pyramid应用程序提供了一个签名参数的方法 在查询字符串（或post主体）中传递的。

最初的动机是能够通过return_url 不将应用程序转换为打开的重定向程序。

其他用例包括能够生成url（例如包括在 电子邮件）可用于绕过正常的身份验证/授权 机制。

安装

Pyramid-signed-params可以使用pip从PyPI安装，或者 easy_install（或buildout）您可能应该在虚拟机中安装它 环境。

配置

必须在应用程序设置中配置至少一个签名密钥。 秘密应该是一个随机的，不可加密的字符串。例如，在你的应用程序中 .ini文件：

pyramid_signed_params.secret = RGWO7nZ6W6AiPIUcXQN2iahJIThwH9BbpyZ7Lc1XfaOkPGt1GY

通过将包包含在金字塔应用程序中来激活它。

config.include('pyramid-signed-params')

这将向金字塔的request添加两个新属性。

• request.sign_query(query, max_age=None, kid=None)

  用于签署查询参数，例如

  # Pass the current URL as a signed *return_url* parameter to another viewquery={'return_url':request.url}other_url=request.route_url('other',_query=request.sign_query(query))

  参数max_age可用于生成在某个 时间量。

  传递kid="csrf"将创建 每当会话的csrf令牌更改时无效。

• request.signed_params

  这个reified属性将包含一个用all填充的multidict 传递给请求的参数已使用有效的 签名。

基本用法示例

构造一个可以通过电子邮件发送的url，以允许更改 给定用户的密码：

# Construct a URL with some signed parameters
params = {'userid': 'fred', 'action': 'change-pw'}
signed_params = request.sign_query(params, max_age=3600)
url = request.route_url('change-pw', _query=signed_params)

然后，在“更改pw”视图中：

if request.signed_params['action'] != 'change-pw':
    raise HTTPForbidden()
userid = request.signed_params['userid']

# Do whatever needs to be done to change the given users password

注意，因为我们将max_age=3600传递给了sign_query，所以 url只能工作一个小时。

小心

此包不提供针对重播攻击的固有保护。 如果攻击者有权访问一组签名参数，他可以通过 那些未经修改的签名参数，指向应用程序中的任何url（或 其他应用程序共享相同的签名密钥。）

作者

Jeff Dairiki

更改