Цель настройки Django 'SECRET_KEY'

Какой именно смысл SECRET_KEYв Джанго? Я сделал несколько поисков в Google и проверил документы ( https://docs.djangoproject.com/en/dev/ref/settings/#secret-key ), но я искал более подробное объяснение этого, и почему это требуется.

Например, что могло произойти, если ключ был взломан / другие знали, что это было? Спасибо.

Используется для изготовления хешей. Смотреть:

>grep -Inr SECRET_KEY *
conf/global_settings.py:255:SECRET_KEY = ''
conf/project_template/settings.py:61:SECRET_KEY = ''
contrib/auth/tokens.py:54:        hash = sha_constructor(settings.SECRET_KEY + unicode(user.id) +
contrib/comments/forms.py:86:        info = (content_type, object_pk, timestamp, settings.SECRET_KEY)
contrib/formtools/utils.py:15:    order, pickles the result with the SECRET_KEY setting, then takes an md5
contrib/formtools/utils.py:32:    data.append(settings.SECRET_KEY)
contrib/messages/storage/cookie.py:112:        SECRET_KEY, modified to make it unique for the present purpose.
contrib/messages/storage/cookie.py:114:        key = 'django.contrib.messages' + settings.SECRET_KEY
contrib/sessions/backends/base.py:89:        pickled_md5 = md5_constructor(pickled + settings.SECRET_KEY).hexdigest()
contrib/sessions/backends/base.py:95:        if md5_constructor(pickled + settings.SECRET_KEY).hexdigest() != tamper_check:
contrib/sessions/backends/base.py:134:        # Use settings.SECRET_KEY as added salt.
contrib/sessions/backends/base.py:143:                       settings.SECRET_KEY)).hexdigest()
contrib/sessions/models.py:16:        pickled_md5 = md5_constructor(pickled + settings.SECRET_KEY).hexdigest()
contrib/sessions/models.py:59:        if md5_constructor(pickled + settings.SECRET_KEY).hexdigest() != tamper_check:
core/management/commands/startproject.py:32:        # Create a random SECRET_KEY hash, and put it in the main settings.
core/management/commands/startproject.py:37:        settings_contents = re.sub(r"(?<=SECRET_KEY = ')'", secret_key + "'", settings_contents)
middleware/csrf.py:38:                % (randrange(0, _MAX_CSRF_KEY), settings.SECRET_KEY)).hexdigest()
middleware/csrf.py:41:    return md5_constructor(settings.SECRET_KEY + session_id).hexdigest()

Документация Django для криптографической подписи охватывает использование параметра 'SECRET_KEY':

Это значение [ SECRET_KEYпараметр] является ключом к защите подписанных данных - крайне важно, чтобы вы сохранили это в безопасности, иначе злоумышленники могут использовать его для создания своих собственных подписанных значений.

(Этот раздел также упоминается в документации Django для настройки 'SECRET_KEY' .)

API криптографического подписывания в Django доступен для любого приложения для криптографически защищенных подписей значений. Сам Django использует это в различных высокоуровневых функциях:

• Подписание сериализованных данных (например, документов JSON).

• Уникальные токены для сеанса пользователя, запроса на сброс пароля, сообщений и т. Д.

• Предотвращение межсайтовых или повторных атак путем добавления (а затем и ожидания) уникальных значений для запроса.

• Генерация уникальной соли для хэш-функций.

Итак, общий ответ таков: в приложении Django есть много вещей, для которых требуется криптографическая подпись, и параметр SECRET_KEY - это ключ, используемый для них. Он должен иметь криптографически сильную энтропию (трудно угадать для компьютеров) и уникальную для всех экземпляров Django.

Согласно документации Django оSECRET_KEY :

Секретный ключ используется для:

• Все сеансы, если вы используете какой-либо другой сеанс, кроме django.contrib.sessions.backends.cacheиспользуемого по умолчаниюget_session_auth_hash() .
• Все сообщения, если вы используете CookieStorageилиFallbackStorage .
• Все токены PasswordResetView.
• Любое использование криптографической подписи, если не предоставлен другой ключ.

Если вы поверните свой секретный ключ, все вышеперечисленное будет признано недействительным. Секретные ключи не используются для паролей пользователей, и ротация ключей не повлияет на них.