tornado 3.0.1 中关于cookie和secure cookie的那点事儿

        cookie是附加在http请求中的，tornado默认的set_cookie和get_cookie方法是明文不加密传输的，而set_secure_cookie和get_secure_cookie是明文加密传输的。代码见下：

import tornado.web
import tornado.ioloop

from tornado.options import define,options,parse_command_line
define('port',default=8888,help='run on the port',type=int)

class MainHandler(tornado.web.RequestHandler):
	def get(self):
		if not self.get_secure_cookie('username'):
			self.set_secure_cookie('username','littlethunder')
			self.write('just set your cookie')
		else:
			a=self.get_secure_cookie('username')
			print(a)
			self.write('you have cookie before')

def main():
	parse_command_line()
	app=tornado.web.Application(
			[(r'/',MainHandler)],
				cookie_secret='abcde'
			)
	app.listen(options.port)
	tornado.ioloop.IOLoop.instance().start()

if __name__=='__main__':
	main()

        通过浏览器可以看到效果如下：

        如果使用set_secure_cookie和get_secure_cookie方法，那么必须在tornado.web.Application中设置cookie_secret参数，’abcd'只是我测试写的，生产环境下可以用uuid生成一个随机字符串来用，但使用过程中要保证这个字符串恒定。 如果要用set_cookie和get_cookie方法，则只需把上面secure去掉，把cookie_secret参数也去掉即可，cookie就不截图了，是明文的。

        最后总结一些cookie和secure_cookie的区别：cookie是基于session的，即打开浏览器设置cookie后，只要不关闭浏览器cookie会一直保存，关闭浏览器后cookie删除，其实就是保存在浏览器运行进程的那块内存中。secure_cookie是保存在硬盘中的cookie，过期时间为一个月，所以一旦设置secure_cookie后，不论浏览器关闭与否，只要不清空cookie，这个值就一直保存直到cookie过期失效。

转载请注明：转自 http://blog.csdn.net/littlethunder/article/details/8933618