Değişen Django etkileri'In SECRET_KEY

SORU

2 Mart 2013, CUMARTESİ

Değişen Django etkileri'In SECRET_KEY

Bir hata yaptım ve benim Django projesi SECRET_KEY ortak bir depo içine işledi.

Bu anahtar gizli dokümanlar https://docs.djangoproject.com/en/dev/ref/settings/#std:setting-SECRET_KEY göre saklayın

Django projesi canlı ve aktif kullanıcılar bir süredir yürütüyor. SECRET_KEY değiştirirsem etkileri nelerdir? Mevcut kullanıcılar, çerezler, oturumlar, vb herhangi etkilenecek? Belli ki, SECRET_KEY yeni artık halka açık bir yerde saklanır.

CEVAP

13 Mart 2013, ÇARŞAMBA

Edit: Bu cevap django 1.5 dayanmaktadır

SECRET_KEY çeşitli pek çok yerde kullanılır, etkilenen ne ilk işaret eder ve bu liste üzerinden gitmek ve etkileri konusunda kesin bir açıklama vermeye çalışın.

Şeyler listesinde doğrudan ya da dolaylı olarak SECRET_KEY kullanarak:

JSON object signing
Hmacs tuzlu veya etkileyen rasgele motoru sıralaması crypto functions:
- password reset token
- Sahte POST istekleri karşı korumak için comment form security
- form security
- İleti çerçeve protect against message tampering çerezler görünümler arasında mesaj iletmek için kullanabilir.
- De tahrifat önlemek için protect session data and create random session keys.
- create random salt for most password hashers
- Gerekirse create random passwords
- create itself when using startproject
- create CSRF key

Gerçekte öğeleri burada listelenen bir sürü tohum için kullandığı django.utils.crypt.get_random_string() SECRET_KEY rasgele motoru kullanın. Bu SECRET_KEY değer bir değişiklik tarafından etkilenen olmayacaktır.

Kullanıcı deneyimi doğrudan değer bir değişiklik tarafından etkilenen:

oturumlar, deşifre kıracak herhangi bir oturum için geçerli verileri arka uç (kurabiye, veritabanı, dosya tabanlı veya önbellek).
reset token gönderdim bile işe yaramaz şifre, kullanıcıların yeni bir tane sor.
yorum formu django.contrib.comments kullanıyorsanız) eğer değer ve değer değiştirmek teslim etmeden önce istendi eğer doğrular değil. Bu çok küçük ama kullanıcı için kafa karıştırıcı olabilir.
mesajlar (django.contrib.messages) sunucu tarafı yorum formu olarak aynı zaman ve koşullarda doğrulama yapmaz.

Bunu Paylaş: