我有一个使用Google Oauth 2.0身份验证的Tornado应用程序,获取电子邮件并将其设置在cookie中。现在,我不希望其他任何人访问此Cookie,复制值并在我的应用程序上获取其他用户的详细信息。所以我要制作这个cookie httponly
和secure
cookie。但是,当我将这些作为参数传递时,它无法设置Cookie:
self.set_secure_cookie('trakr', email, secure=True, httponly=True)
我正在起诉Tornado 3.2.2和Python 2.7.5。
由于它无法设置Cookie,因此会一直重定向到Google身份验证页面。这是我的代码:
class GAuthLoginHandler(BaseHandler, tornado.auth.GoogleOAuth2Mixin): @tornado.gen.coroutine def get(self): if self.get_current_user(): self.redirect('/products') return if self.get_argument('code', False): user = yield self.get_authenticated_user(redirect_uri=settings.google_redirect_url, code=self.get_argument('code')) if not user: self.clear_all_cookies() raise tornado.web.HTTPError(500, 'Google authentication failed') access_token = str(user['access_token']) http_client = self.get_auth_http_client() response = yield http_client.fetch('https://www.googleapis.com/oauth2/v1/userinfo?access_token='+access_token) user = json.loads(response.body) self.set_secure_cookie('trakr', user['email'], secure=True, httponly=True) self.redirect(self.get_argument("next", "/products")) return elif self.get_secure_cookie('trakr'): self.redirect('/products') return else: yield self.authorize_redirect( redirect_uri=settings.google_redirect_url, client_id=self.settings['google_oauth']['key'], scope=['email'], response_type='code', extra_params={'approval_prompt': 'auto'})
当我删除secure
和httponly
参数时,代码工作正常。如果我只是发送httponly
参数,它也可以工作,但是当我同时传递两个参数时,它似乎并没有设置cookie。
难道我做错了什么?