Как реализовать простые сессии для Google App Engine?

Question

Вот очень простой класс для обработки сессий в App Engine:

"""Lightweight implementation of cookie-based sessions for Google App Engine.

Classes:
Session

"""

import os
import random
import Cookie
from google.appengine.api import memcache

_COOKIE_NAME = 'app-sid'
_COOKIE_PATH = '/'
_SESSION_EXPIRE_TIME = 180 * 60


class Session(object):

    """Cookie-based session implementation using Memcached."""

    def __init__(self):
        self.sid = None
        self.key = None
        self.session = None
        cookie_str = os.environ.get('HTTP_COOKIE', '')
        self.cookie = Cookie.SimpleCookie()
        self.cookie.load(cookie_str)
        if self.cookie.get(_COOKIE_NAME):
            self.sid = self.cookie[_COOKIE_NAME].value
            self.key = 'session-' + self.sid
            self.session = memcache.get(self.key)
        if self.session:
            self._update_memcache()
        else:
            self.sid = str(random.random())[5:] + str(random.random())[5:]
            self.key = 'session-' + self.sid
            self.session = dict()
            memcache.add(self.key, self.session, _SESSION_EXPIRE_TIME)
            self.cookie[_COOKIE_NAME] = self.sid
            self.cookie[_COOKIE_NAME]['path'] = _COOKIE_PATH
            print self.cookie

    def __len__(self):
        return len(self.session)

    def __getitem__(self, key):
        if key in self.session:
            return self.session[key]
        raise KeyError(str(key))

    def __setitem__(self, key, value):
        self.session[key] = value
        self._update_memcache()

    def __delitem__(self, key):
        if key in self.session:
            del self.session[key]
            self._update_memcache()
            return None
        raise KeyError(str(key))

    def __contains__(self, item):
        try:
            i = self.__getitem__(item)
        except KeyError:
            return False
        return True

    def _update_memcache(self):
        memcache.replace(self.key, self.session, _SESSION_EXPIRE_TIME)

Я хотел бы получить несколько советов о том, как улучшить код для повышения безопасности.

Примечание: В рабочей версии также будет сохранена копия сеанса в хранилище данных.

Примечание ': Я знаю, что в Интернете доступно гораздо больше полных реализаций, хотя я хотел бы узнать больше об этом предмете, поэтому, пожалуйста, не отвечайте на вопрос "используйте это" или "используйте другое "библиотека.

Answer 1

Вот предложение по упрощению вашей реализации.

Вы создаете случайный временный ключ, который вы используете в качестве ключа сеанса в кэше памяти. Обратите внимание, что вы также будете хранить сеанс в хранилище данных (где у него будет другой ключ).

Почему бы не рандомизировать ключ хранилища данных сеанса, а затем использовать его в качестве единственного ключа как для базы данных, так и для кэша памяти (при необходимости)? Вносит ли это упрощение какие-либо новые проблемы безопасности?

Вот некоторый код для создания рандомизированного ключа хранилища данных для модели Session:

# Get a random integer to use as the session's datastore ID.
# (So it can be stored in a cookie without being 'guessable'.)
random.seed();
id = None;
while None==id or Session.get_by_id( id ):
    id = random.randrange( sys.maxint );
seshKey = db.Key.from_path( 'Session', id );    
session = Session( key = seshKey );

Чтобы получить идентификатор из сеанса (т. Е. Сохранить в cookie), используйте:

sid = session.key().id();

Чтобы извлечь экземпляр сеанса после того, как 'sid' был прочитан из куки:

session = Session.get_by_id( sid );

Answer 2

Вот несколько дополнительных мер безопасности, которые вы можете добавить.

Во-первых, я думаю, что для проверки каждого нового запроса довольно часто используется информация, хранящаяся в экземпляре сеанса. Например, вы можете убедиться, что IP-адрес и пользовательский агент не меняются во время сеанса:

newip = str( request.remote_addr );
if sesh.ip_addr != newip:
    logging.warn( "Session IP has changed to %s." % newip);
newua = rh.request.headers.get( 'User-Agent', None );
if sesh.agent != newua:
    logging.warn( "Session UA has changed to %s." % newua );

Кроме того, возможно, было бы лучше предотвратить возобновление сеанса на неопределенный срок? Я думаю, что такие сайты, как Google, в конечном итоге попросят вас снова войти в систему, если вы попытаетесь сохранить сеанс в течение длительного времени.

Полагаю, было бы легко постепенно уменьшать значение _SESSION_EXPIRE_TIME при каждом возобновлении сеанса, но это не очень хорошее решение. В идеале выбор времени, когда пользователь должен снова войти в систему, должен учитывать требования к потоку и безопасности вашего сайта.