在turbogears development.ini文件中,有一个类似这样的值:
cookie_secret = aabbccdd-eeff-0011-2233-445566778899
由十六进制数字和短划线组成。
相同的值放在beaker.session.secret和beaker.session.validate_key。
http://turbogears.org/2.0/docs/main/Config.html有一个关于此值的部分:
base_config对象的beaker.session.secret键包含用于存储用户会话的秘密。在您创建项目时,Pylons会自动为您生成随机密钥。如果攻击者掌握了这个密钥,他就可以伪造一个有效的会话来使用你的应用程序,虽然他已登录。如果发生安全漏洞,你可以更改此密钥以使所有用户会话无效。 / p>
生成新密钥的最佳方法是什么?
答案 0 :(得分:1)
它可以是你想要的任何东西。如果难以捕捉或暴力,那就更好了。适用相同的密码规则。如果我没记错的话,它目前是用uuid.uuid4()生成的