Le but de Django paramètre ‘SECRET_KEY’

Quel est exactement le point de la SECRET_KEY dans django? J'ai fait quelques recherches sur google et vérifié les docs ( https://docs.djangoproject.com/en/dev/ref/settings/#secret-key ), mais je cherchais une explication plus approfondie de ce, et pourquoi elle est nécessaire.

Par exemple, ce qui pourrait se produire si la clé a été compromise /les autres savaient ce que c'était? Merci.

  • Si vous avez une clé secrète, et c'est compromise et communiqués à d'autres personnes, vous avez un problème. Il n'a pas d'importance si vous utilisez Django ou pas.
  • Mais quel est le problème exactement?
  • J'ai fait une approfondie répondre à here (shameless plug)
  • Peut-être que vous devriez écrire une réponse à cette question ainsi. J'imagine que vous pouvez faire beaucoup mieux que la accepté de non-réponse.
InformationsquelleAutor David542 | 2011-09-11
  1. 75

    Il est utilisé pour la fabrication de tables de hachage. Look:

    >grep -Inr SECRET_KEY *
conf/global_settings.py:255:SECRET_KEY = ''
conf/project_template/settings.py:61:SECRET_KEY = ''
contrib/auth/tokens.py:54:        hash = sha_constructor(settings.SECRET_KEY + unicode(user.id) +
contrib/comments/forms.py:86:        info = (content_type, object_pk, timestamp, settings.SECRET_KEY)
contrib/formtools/utils.py:15:    order, pickles the result with the SECRET_KEY setting, then takes an md5
contrib/formtools/utils.py:32:    data.append(settings.SECRET_KEY)
contrib/messages/storage/cookie.py:112:        SECRET_KEY, modified to make it unique for the present purpose.
contrib/messages/storage/cookie.py:114:        key = 'django.contrib.messages' + settings.SECRET_KEY
contrib/sessions/backends/base.py:89:        pickled_md5 = md5_constructor(pickled + settings.SECRET_KEY).hexdigest()
contrib/sessions/backends/base.py:95:        if md5_constructor(pickled + settings.SECRET_KEY).hexdigest() != tamper_check:
contrib/sessions/backends/base.py:134:        # Use settings.SECRET_KEY as added salt.
contrib/sessions/backends/base.py:143:                       settings.SECRET_KEY)).hexdigest()
contrib/sessions/models.py:16:        pickled_md5 = md5_constructor(pickled + settings.SECRET_KEY).hexdigest()
contrib/sessions/models.py:59:        if md5_constructor(pickled + settings.SECRET_KEY).hexdigest() != tamper_check:
core/management/commands/startproject.py:32:        # Create a random SECRET_KEY hash, and put it in the main settings.
core/management/commands/startproject.py:37:        settings_contents = re.sub(r"(?<=SECRET_KEY = ')'", secret_key + "'", settings_contents)
middleware/csrf.py:38:                % (randrange(0, _MAX_CSRF_KEY), settings.SECRET_KEY)).hexdigest()
middleware/csrf.py:41:    return md5_constructor(settings.SECRET_KEY + session_id).hexdigest()
    • Pourquoi n'ont-ils pas l'appeler un sel puis? 😉
    • C'est une supposition, mais je suppose qu'il est plus facile de dire aux gens "ne pas partager votre SECRET_KEY", par opposition à "votre SALT est une clé secrète que vous devez garder à vous-même."
    • Cette distinction est très importante. En cryptographie, les sels ne sont pas secrets, mais SECRET_KEY doivent être sécurisées. L'utilisation de la SECRET_KEY est beaucoup plus proche de l'utilisation d'une clé dans un signé de hachage comme HMAC (qui, si la performance n'était pas une considération, ne serait probablement être utilisé à la place).
    • Cela ne ressemble pas à une réponse pour moi. Vous n'avez fait qu'une seule commande grep sans expliquer ce qu'il fait. Où est la réponse à "ce qui pourrait se produire si la clé a été compromise?"?
    • Aussi depuis le SECRET_KEY est confidentiel, la préfixation d'un SECRET de la clé assure que Django va crypter/masque les valeurs de là que jamais nécessaire.
    InformationsquelleAutor Roshan Mathews
  2. 25

    La Documentation de Django pour cryptographique de signature couvre les utilisations de l' ‘SECRET_KEY’ définition:

    Cette valeur [le SECRET_KEY setting] est la clé de la sécurisation des données signées – il est crucial que vous garder cette sécurité, ou des personnes malveillantes peuvent utiliser pour créer leurs propres valeurs signées.

    (Cette section est également référencé de la documentation de Django pour le " SECRET_KEY paramètre.)

    Le cryptographique de signature de l'API dans Django est disponible à n'importe quelle application de chiffrement sécurisé signatures sur les valeurs. Django lui-même rend l'utilisation de ce dans divers niveau supérieur caractéristiques:

    • Signature sérialisés données (par exemple, documents JSON).

    • Jetons uniques pour une session d'utilisateur, mot de passe demande de réinitialisation, messages, etc.

    • Prévention de cross-site ou les attaques de relecture par l'ajout (et puis attendre) des valeurs uniques à la demande.

    • La génération d'un unique sel pour les fonctions de hachage.

    Donc, de manière générale, la réponse est: Il y a beaucoup de choses dans un Django app qui nécessitent une signature cryptographique, et le " SECRET_KEY’ paramètre est la clé utilisée pour ceux. Il doit avoir un point de vue cryptographique forte quantité d'entropie (dur pour les ordinateurs à deviner) et unique entre tous les Django instances.

    • "et unique entre tous les Django instances." -- est-ce que cela implique si par exemple j'ai 3 serveurs exécutant le même Django app derrière un répartiteur de charge, je doit avoir 3 distincte SECRET_KEY paramètres?
    • qui sonne comme un bon point de départ pour une nouvelle question, pour obtenir sa propre réponse.
    • Très bonne suggestion, fait: stackoverflow.com/questions/51657422/...
    InformationsquelleAutor bignose
  3. 10

    Selon la Documentation de Django sur SECRET_KEY:

    La clé secrète est utilisée pour:

    • Toutes les sessions si vous utilisez une autre session backend que django.contrib.sessions.backends.cache, ou utilisez la valeur par défaut get_session_auth_hash().
    • Tous les messages si vous utilisez CookieStorage ou FallbackStorage.
    • Tous PasswordResetView jetons.
    • Toute utilisation de la signature cryptographique, à moins qu'une autre clé est fournie.

    Si vous faites tourner votre clé secrète, tous les ci-dessus sera invalidé. Les clés secrètes ne sont pas utilisés pour les mots de passe des utilisateurs et de la rotation de la clé ne les affectera pas.

    • Informations utiles concernant ce qui se passe si les SECRET_KEY est en rotation. +1
    InformationsquelleAutor Michael B