如何在Tornado中设置'secure'和'httponly' cookie?
我有一个使用Google Oauth 2.0认证的Tornado应用,它会获取用户的邮箱并把这个邮箱存储在一个cookie里。现在我不想让其他人访问这个cookie,复制它的值,从而获取其他用户在我应用上的信息。所以我想把这个cookie设置为httponly和secure。但是当我把这两个参数传进去时,cookie却无法设置:
self.set_secure_cookie('trakr', email, secure=True, httponly=True)
我使用的是Tornado 3.2.2和Python 2.7.5。
因为无法设置cookie,所以它一直在重定向到Google认证页面。以下是我的代码:
class GAuthLoginHandler(BaseHandler, tornado.auth.GoogleOAuth2Mixin):
@tornado.gen.coroutine
def get(self):
if self.get_current_user():
self.redirect('/products')
return
if self.get_argument('code', False):
user = yield self.get_authenticated_user(redirect_uri=settings.google_redirect_url,
code=self.get_argument('code'))
if not user:
self.clear_all_cookies()
raise tornado.web.HTTPError(500, 'Google authentication failed')
access_token = str(user['access_token'])
http_client = self.get_auth_http_client()
response = yield http_client.fetch('https://www.googleapis.com/oauth2/v1/userinfo?access_token='+access_token)
user = json.loads(response.body)
self.set_secure_cookie('trakr', user['email'], secure=True, httponly=True)
self.redirect(self.get_argument("next", "/products"))
return
elif self.get_secure_cookie('trakr'):
self.redirect('/products')
return
else:
yield self.authorize_redirect(
redirect_uri=settings.google_redirect_url,
client_id=self.settings['google_oauth']['key'],
scope=['email'],
response_type='code',
extra_params={'approval_prompt': 'auto'})
当我去掉secure和httponly参数时,代码运行得很好。如果我只传httponly参数,它也能正常工作,但当我同时传入这两个参数时,似乎就无法设置cookie了。
我是不是做错了什么?
1 个回答
4
问题不在于Tornado或Python,而在于我的服务器,因为我没有使用HTTPS:
安全 cookie 是一种带有安全属性的 cookie,只能通过 HTTPS 使用,这样在客户端和服务器之间传输时,cookie 始终是加密的。这就减少了 cookie 被窃取的风险,因为窃听者不容易获取到这些信息。此外,所有的 cookie 都受到浏览器的同源政策限制。