设置 HttpOnly Cookie 存储 JWT示例

原创 已于 2025-09-08 22:27:34 修改 · 287 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask #django

于 2025-09-07 21:00:23 首次发布

Flask 示例:设置 HttpOnly Cookie 存储 JWT

from flask import Flask, make_response, request, jsonify
import jwt
import datetime

app = Flask(__name__)
app.config['SECRET_KEY'] = 'your-secret-key'

@app.route('/login', methods=['POST'])
def login():
    # 模拟登录成功后的用户信息
    user_id = 123
    token = jwt.encode(
        {'user_id': user_id, 'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1)},
        app.config['SECRET_KEY'],
        algorithm='HS256'
    )

    # 创建响应对象
    resp = make_response(jsonify({'message': '登录成功'}))

    # 设置 HttpOnly Cookie
    resp.set_cookie(
        'access_token',         # Cookie 名称
        token,                  # Cookie 值(JWT)
        httponly=True,          # 禁止 JS 访问,防 XSS
        secure=False,           # 生产环境应设为 True(仅 HTTPS)
        samesite='Lax',         # 防 CSRF,推荐 Lax 或 Strict
        max_age=3600            # 有效期 1 小时
    )

    return resp

@app.route('/protected')
def protected():
    token = request.cookies.get('access_token')
    if not token:
        return jsonify({'error': '未授权'}), 401

    try:
        payload = jwt.decode(token, app.config['SECRET_KEY'], algorithms=['HS256'])
        return jsonify({'user_id': payload['user_id']})
    except jwt.ExpiredSignatureError:
        return jsonify({'error': 'Token 已过期'}), 401

解析亮点

  • set_cookie() 设置了 HttpOnly 属性,防止 JS 访问。

  • secure=False 仅用于开发环境,生产环境必须启用 HTTPS。

  • samesite='Lax' 防止跨站请求伪造(CSRF)。

  • request.cookies.get() 用于读取 Cookie 中的 Token。

Django 示例:设置 HttpOnly Cookie 存储 JWT

from rest_framework.views import APIView
from rest_framework.response import Response
from django.conf import settings
from django.utils import timezone
import jwt

class LoginView(APIView):
    def post(self, request):
        user_id = 123  # 模拟登录成功
        payload = {
            'user_id': user_id,
            'exp': timezone.now() + timezone.timedelta(hours=1)
        }
        token = jwt.encode(payload, settings.SECRET_KEY, algorithm='HS256')

        response = Response({'message': '登录成功'})

        # 设置 HttpOnly Cookie
        response.set_cookie(
            key='access_token',
            value=token,
            httponly=True,
            secure=not settings.DEBUG,
            samesite='Lax',
            max_age=3600
        )

        return response

class ProtectedView(APIView):
    def get(self, request):
        token = request.COOKIES.get('access_token')
        if not token:
            return Response({'error': '未授权'}, status=401)

        try:
            payload = jwt.decode(token, settings.SECRET_KEY, algorithms=['HS256'])
            return Response({'user_id': payload['user_id']})
        except jwt.ExpiredSignatureError:
            return Response({'error': 'Token 已过期'}, status=401)

解析亮点

  • response.set_cookie() 设置 HttpOnly Cookie。

  • secure=not settings.DEBUG:开发环境允许 HTTP,生产强制 HTTPS。

  • request.COOKIES.get() 读取 Cookie 中的 Token。

  • 使用 jwt.decode() 验证 Token 合法性和过期时间。

安全建议(适用于 Flask 和 Django)

项目建议配置
httponly✅ 必须开启,防止 XSS
secure✅ 生产环境必须开启 HTTPS
samesite✅ 推荐 'Lax''Strict'
max_age根据业务设置有效期
Token刷新建议使用 Refresh Token + 自动刷新机制

SameSite 属性作用

它是浏览器用来防止 CSRF(跨站请求伪造)攻击 的机制之一。通过限制 Cookie 在跨站请求中的发送行为,提升安全性。

SameSite=Lax(宽松模式)

  • 允许跨站 GET 请求携带 Cookie

    • 比如:点击链接跳转、打开新窗口、GET 表单提交

  • 禁止跨站 POST、PUT、DELETE 等非安全方法携带 Cookie

    • 比如:AJAX 请求、表单自动提交等

适合场景

  • 普通网站登录状态维持

  • 用户从其他网站跳转访问你的网站时仍能保持登录

SameSite=Strict(严格模式)

  • 所有跨站请求都不携带 Cookie

    • 无论是 GET 还是 POST,只要是跨站就不带 Cookie

  • ✅ 只有在用户直接访问你的网站(同源)时才会带 Cookie

适合场景

  • 高安全性要求的系统(如银行后台、管理系统)

  • 不希望任何第三方页面能触发带 Cookie 的请求

举个例子

假设你已经登录了 example.com

场景LaxStrict
你点击一个链接跳转到 example.com✅ Cookie 会带上✅ Cookie 会带上
其他网站通过表单 POST 到 example.com❌ 不带 Cookie❌ 不带 Cookie
其他网站通过 AJAX 请求 example.com❌ 不带 Cookie❌ 不带 Cookie

总结建议

属性安全性用户体验推荐用途
Strict差(容易掉登录)内部系统、后台管理
Lax普通网站、博客、商城

如果你正在做一个后台管理系统,Strict 是更安全的选择;如果你希望用户从其他页面跳转后仍保持登录状态,Lax 更合适。

dreams_dream
关注
前后端C#鉴权终极指南:HTTP Basic、Session-CookieJWT、OAuth 2.0 全解析
墨夶的博客
05-15 628
在 Web 开发中,鉴权(Authentication & Authorization)是保障数据安全的核心环节。本文将通过(HTTP Basic、Session-CookieJWT、OAuth 2.0)的,结合和,带你彻底掌握如何构建安全可靠的前后端鉴权体系。
session、cookiejwt
bojinyuan00的博客
05-27 1104
session、cookiejwt的区别
Jwt、Session、Cookie
m0_50985216的博客
07-10 540
JWT(JSON Web Token)是一种用于在网络上安全传输信息的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。:包含令牌的元数据,如令牌的类型(JWT)和签名算法(如HMAC SHA256或RSA)。:包含要传递的信息,如用户ID、角色、权限等。:使用头部和载荷的Base64编码字符串以及一个密钥(secret)进行签名计算,以确保信息传输的安全性。文件中,配置JWT的相关参数,如密钥(Secret)、颁发者(Issuer)和受众(Audience)。
JWT授权token前端存储策略
警警的博客
06-12 772
HTTP`无状态`,需要记录登录状态——>常见的有Localstorage和CookieCookie 是浏览器中一种小型数据存储机制,用于客户端与服务端之间的自动身份识别和状态维护。localStorage是 HTML5 提供的浏览器本地存储机制,支持以 key-value形式在客户端长期存储数据。采用「access token + refresh token」机制,access token 存在前端(通常是 memory 或 localStorage),refresh token 后端 HttpOnly
Cookie、Session、Token、JWT 、JWE详解
weixin_52438357的博客
01-31 1476
Cookie是由web服务器创建并存储在用户浏览器中的一小段文本信息。当浏览器访问服务器时,服务器会向浏览器发送Cookie。此后,每当浏览器再次访问同一服务器时,浏览器会自动将该Cookie发送到服务器,以此来通知服务器用户之前的活动。无状态的HTTP:HTTP协议本身是无状态的,这意味着每次请求都是独立的,服务器无法从一个请求中了解到另一个请求的信息。因此,需要某种机制来维持一个用户的状态跨多个页面请求或网站访问。会话管理:Session是一种在服务器端保持用户状态的机制。
react jwt_React身份验证:如何在Cookie存储JWT
weixin_26722031的博客
08-31 1936
react jwt 重点 (Top highlight)???? Say hi to me on Twitter! ????在 Twitter上 对我问好 ! If you have a React app that needs to access data, perhaps your setup looks like this: 如果您有一个需要访问数据的React应用,则您的设置可能如下所示: If ...
CookieHttpOnly属性:作用、配置与前后端分工
weixin_43172311的博客
07-07 1561
在Web开发中,HttpOnlyCookie的一项关键安全属性,用于**防御客户端脚本攻击**(如XSS)。本文将深入解析其核心作用、技术实现方式,以及前后端开发者在Cookie配置中的分工协作。
session和cookie以及jwt
zflhw的博客
04-05 508
https://img2020.cnblogs.com/blog/1515111/202004/1515111-20200405090920745-1422513552.png Cookie 和 Session HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session 和 Cookie 的主要目的就是为了弥补 HTTP...
Cookie,Session,Token和JWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1207
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
【JAVA】】深入浅出了解cookie、session、jwt
小敢心的博客
03-18 777
本文章主要介绍cookie、session、jwt,帮你快速了解它们的原理和区别,适合新手初步快速了解这部分的基础概念和知识。Cookie 是由服务端生成并发送给客户端的一小段数据(键值对),由客户端(如浏览器)保存,并在后续请求中自动携带回服务端。Session 是服务端存储的用户会话数据(如登录状态、购物车内容),通常通过一个 Session ID 标识客户端身份,而 Session ID 一般通过 Cookie 传递。
vue+egg+jwt实现登录验证的示例代码
10-16
但是,出于对同源策略的遵守,将JWT存储cookie中需要额外的配置(如HttpOnly属性和Secure属性),这些配置可以在设置cookie时附加。 前端代码中的重要部分是Vue组件路由的前置守卫(router.beforeEach)。这个...
cookiejwt区别
04-29
// 示例:如何在前端使用 JWT 设置授权头 fetch('https://api.example.com/protected-resource', { method: 'GET', headers: new Headers({ 'Authorization': `Bearer ${localStorage.getItem('jwtToken')}` }) ...
jwt cookie
03-14
### 正确使用JWTCookie的方式 ...// 设置带安全标志的cookie示例 (Node.js/Express) res.cookie('jwt', token, { httpOnly: true, secure: process.env.NODE_ENV === 'production', sameSite: 'lax' }); ```
Flask
最新发布
m0_65095770的博客
09-12 447
Flask 是一个用 Python 编写的轻量级 Web 应用框架。它被称为“微框架”,但这并不意味着它的功能弱小,而是指其核心非常简洁,只提供了构建 Web 应用最基本的功能(如路由、请求/响应处理)。其他高级功能(如数据库抽象、表单验证、用户认证等)则可以通过丰富的扩展来实现。哲学:给予开发者最大的灵活性和选择权。“微”意味着可定制性强,你可以按需组合组件,而不是被框架的设计所束缚。特性描述核心极其轻量、灵活、易学设计哲学“微”核心 + 扩展,给予开发者最大自由适合场景。
python&Flask 使用 SQLAlchemy 的连接池
m0_60008263的博客
09-10 445
SQLAlchemy是Python中功能强大的数据库工具库,支持ORM和原生SQL操作。它默认启用连接池功能,可通过create_engine()配置连接参数如pool_size、max_overflow等。使用方式包括直接执行SQL(engine.connect())和通过Session进行ORM操作。Flask集成时建议使用scoped_session确保线程安全,并在请求结束时关闭会话。该库适用于需要高效管理数据库连接和ORM映射的场景,比DBUtils功能更全面。
基于「YOLO目标检测 + 多模态AI分析」的铁路轨道缺陷检测安全系统(vue+flask+数据集+模型训练)
2301_77366341的博客
09-12 677
本文介绍了一个基于YOLO目标检测和多模态AI分析的铁路轨道缺陷检测安全系统。系统采用Vue+Flask技术栈,集成YOLOv8/YOLO11/YOLO12等先进模型,支持图片、视频和实时摄像头三种检测模式,能识别4类轨道缺陷。系统包含完整的工作流程,从数据集管理到模型训练再到缺陷检测,并采用分层权限管理。技术指标显示模型精确率0.916,召回率0.923。项目提供了完整源码、数据集和训练好的模型权重,适用于铁路安全检测、质量评估和教学研究等领域。
使用Flask实现接口回调地址
Cesare的博客
09-09 1142
使用Flask框架实现接口回调功能
基于「YOLO目标检测 + 多模态AI分析」的植物病害检测分析系统(vue+flask+数据集+模型训练)
2301_77366341的博客
09-10 722
本文介绍了一个基于YOLO目标检测和多模态AI分析的植物病害智能检测系统。系统采用Vue+Flask技术栈,集成YOLOv8/YOLO11/YOLO12等先进模型,支持图片、视频、实时摄像头三种检测模式,可识别30种常见植物病害。系统具备完整工作流程,从数据集管理到模型训练再到病害检测,并创新性地引入多模态大模型进行辅助分析。项目包含2328张植物病害数据集,训练好的模型在部分类别上表现优秀(如玉米锈病叶片mAP50达0.962)。系统适用于农业生产、技术服务、科研及教育等多个场景。
Flask 前后端分离架构实现支付宝电脑网站支付功能
qq_42568323的博客
09-10 953
本文介绍了基于Flask框架实现支付宝电脑网站支付功能的全流程。主要内容包括:1)支付宝支付原理与交互流程解析,强调异步通知的重要性;2)项目环境搭建,包含密钥生成与安全配置;3)后端实现方案,封装支付宝SDK工具类并创建核心支付接口;4)采用前后端分离架构,通过RESTful API处理支付请求和状态查询。文章提供了完整的代码示例,涵盖从订单创建、支付跳转到异步通知处理的完整支付闭环,为开发者实现安全可靠的支付宝集成提供了详细指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值