Django密钥泄露

Question

我想知道如果生产密钥被泄露，人们需要采取什么步骤。幸运的是，情况并非如此，但尽管如此，知道这一点还是很好的。

特别是，如果简单地将旧密钥交换为新生成的密钥，会发生什么情况？由于它用于生成散列，它是否会破坏整个系统或使其不稳定？

在妥协的情况下，响应会像生成新密钥并将其插入到生产设置中一样简单吗？

Answer 1

SECRET_KEY用于以下用途：

如果使用的会话后端不是，则使用所有会话；如果使用的是

• 或FallbackStorage.
• All CookieStorage令牌，则使用默认的PasswordResetView消息。
• 任何使用加密签名的情况，除非提供了不同的密钥。

“如果您轮换密钥，上述所有内容都将失效。密钥不用于用户的密码，密钥轮换不会影响用户密码。”

您可以使用以下函数生成新的密钥：

from django.core.management.utils import get_random_secret_key

print(get_random_secret_key())

只需将打印的结果复制/粘贴到settings.py中。