Das deutsche Python-Forum

Hyperion hat geschrieben:Also man nutzt Sessions aber überlicherweise schreibt man sowas nicht selbst sondern nutzt ne Authentifizierungs-Middleware.

Wobei wir das Thema neulich erst hatten und etwas wirklich tolles niemand präsentieren konnte. Evtl. kannst Du uns da etwas empfehlen? In flask ist das ganze ja bereits enthalten, weswegen ich in Zukunft wohl eher darauf aufbauen würde, als auf bottle.[/quote]
Nö, ich habe letztens nur das genutzt was Django bietet. In Zukunft werde ich wohl auch auf flask setzen, zudem ich warscheinlich ne Dokumentendatenbank bevorzugen werde.

@Defnull Das Secure steht dafür dass es verschlüsselt ist, ein User kann nicht einfach die Daten einsehen. Abgesehen davon muss man erstmal soviele temporäre Daten zusammen bekommen dass ein Cookie nicht mehr ausreicht.

DasIch hat geschrieben:@Defnull Das Secure steht dafür dass es verschlüsselt ist, ein User kann nicht einfach die Daten einsehen. Abgesehen davon muss man erstmal soviele temporäre Daten zusammen bekommen dass ein Cookie nicht mehr ausreicht.

Nö, Flask verschlüsselt die client-seitig gespeicherten Session-Daten nicht, sondern signiert sie nur. Das verhindert das Verändern der Session-Daten, nicht aber das Auslesen. Quote aus der Flask doku: "This is implemented on top of cookies for you and signs the cookies cryptographically. What this means is that the user could look at the contents of your cookie but not modify it, unless he knows the secret key used for signing."

Das meine ich damit: Unter Session versteht man eigentlich etwas anderes.

Und was die Größe an geht: Auch wenn es nur 500 bytes sind (und die kommen schnell zusammen, da die Daten erst gepickelt und dann mit base46 codiert werden) diese Daten werden bei jedem einzelnen Request (auch bei statischen Daten) an den Server geschickt.

Wie gesagt, Bottle kann das auch, nennt es nur anders. Für Sessions im herkömmlichen Sinne würde ich diese Technik aber nicht verwenden.