烧瓶和HTTPOnly饼干

Question

我对HTTPOnly cookie的使用感到有点困惑。当我的用户登录它时，分配cookie，然后在响应头中看到它：

res = make_response({"status":"success","data":ret_rec})
res.set_cookie(key="PPS-Token",value=token,secure=True,httponly=True)                    
return res

在响应标题中：

Set-Cookie: PPS-Token=mylongtoken; Secure; HttpOnly; Path=/

现在，我不确定如何在用户登录后验证令牌：

def check_token(f):
    @wraps(f)
    def decorator(*args, **kwargs):
        token = request.cookies.get("PPS-Token")
        if not token:
            build_response(status="error", message="Invalid Token...Contact Support")
        ...

当用户登录时，令牌是如何保持的？如何在后续服务器requests>上验证令牌

Answer 1

当设置HTTPOnly标志时，客户端无法访问cookie，并且不需要访问cookie。它通常是设置在后端域，并将自动发送的网页浏览器。因此，每当处理请求时，都可以执行一些验证逻辑(即身份验证或授权)。这通常是在这样的装潢师身上完成的：

from functools import wraps
from flask import jsonify, current_app


def validate_something():
    def wrapper(fn):
        @wraps(fn)
        def decorated_view(*args, **kwargs):
            verify_token_somehow()
            if not something:
                return jsonify(msg="Permitted!"), 403
            return current_app.ensure_sync(fn)(*args, **kwargs)

        return decorated_view

    return wrapper

取决于cookie的设置方式(会话cookie或持久cookie)，它将一直持续到无效或会话关闭为止。