API验证

最新推荐文章于 2023-03-28 12:49:52 发布
最新推荐文章于 2023-03-28 12:49:52 发布
阅读量1k 收藏 1
点赞数
分类专栏: python Django API 文章标签: api web应用 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayhan_huang/article/details/78202817
版权
python 同时被 3 个专栏收录
46 篇文章 0 订阅
订阅专栏
Django
22 篇文章 3 订阅
订阅专栏
API
2 篇文章 0 订阅
订阅专栏

API验证

在web应用中,服务端提供的API接口必须有某种安全机制,来识别Http请求是否合法,以防别有用心之人截获http请求,对服务端进行攻击的行为。这里,参考Tornado签名cookie源码,来实现一个API验证的功能。

基本思路:

  1. 服务端给有权限访问的客户端发放key,客户端每次访问时携带key给服务端进行验证。
  2. 为了防止请求被截获后key泄露,将key与当前时间进行加密后生成动态密钥。
  3. 请求被截获后,不法分子依然能够直接使用这个动态密钥通过服务端的验证。因此服务端增加有效期验证,比如5S超时,超过这个时间的请求无法通过验证。
  4. 如果不法分子截获请求,并在超时前访问API,还是有风险。因此服务端增加第一次访问验证,同样密钥如果是第二次请求,无法通过。


下面我们在Django中实践一下:

  1. 新建项目API_AUTH,创建应用app01,定义路由如下:

    from django.conf.urls import url
from app01 import views

urlpatterns = [
    url(r'^api_auth/$', views.api_auth),
]


  1. 写一个脚本test.py,通过request模块对上述路由发起Http请求

    import requests, time, hashlib

key = 'asdgasgewfqsef'
url = 'http://127.0.0.1:8000/server.html'


# 将key与当前时间加密生成动态密钥token

timestamp = time.time()
temp = '{key}|{time}'.format(key=key,time=timestamp)
md5_str = hashlib.md5(temp.encode('utf-8')).hexdigest() 
token = '{md5_str}|{time}'.format(md5_str=md5_str, time=timestamp)


# 在Http请求头中携带token

response = requests.get(url, headers={"auth-key": token})
print(response.text)


# 模拟超时发送请求

fake = token
time.sleep(6)
response = requests.get(url, headers={'auth-key': fake})
print('second...',response.text)

    说明:

    1. 通过headers={key: value}发送自定义请求头


  1. 服务端api_auth视图函数:

    def api_auth(request, *args, **kwargs):

    key = 'asdgasgewfqsef' # 服务端与客户端持有同样的key
    temp_key = {
        # client_md5: timestamp  --> 过期自动清除, 判断是第一次请求
        # 通过redis,Memcache来做过期自动清除
    }

    token = request.META.get('HTTP_AUTH_KEY')  # 提取请求头中的密钥
    print('token...',token)
    # 6e632f8e858e07ffcc3b636a1577121b|1506983215.7659595
    # 分割出客户端动态key和时间字符串
    client_md5 = token.split('|')[0]
    timestamp = token.split('|')[1]

    # 用客户端的时间字符串和服务端的key,生成服务端动态key
    temp = '{key}|{time}'.format(key=key, time=timestamp)
    server_md5 = hashlib.md5(temp.encode('utf-8')).hexdigest()

    now = time.time()
    if float(timestamp) + 5 < now:  # 5s过期验证
        return HttpResponse('呵呵')

    elif server_md5 != client_md5:  # 动态key验证
        return HttpResponse('呵呵')

    elif temp_key[client_md5]:  # 第一次访问验证
        return  HttpResponse('呵呵')

    else:  # 验证通过,将这次的请求的动态key和时间戳作为记录保存,以作下次第一次访问验证。
        temp_key[client_md5] = timestamp  
        return HttpResponse('验证通过')

    说明:

    1. 自定义请求头的信息从request.META中获取;
    2. 请求头中的'auth-key'会被转化为HTTP_AUTH_KEY
    3. temp_key中的记录后期通过redis,Memcache来做过期自动清除, 参考AES加密


  1. 封装成装饰器,可以给需要的视图函数使用

    def api_auth(func):
    def deco(request, *args, **kwargs):
        key = 'asdgasgewfqsef' # 服务端与客户端持有同样的key
        # 同上......
        now = time.time()
        if float(timestamp) + 5 < now:  # 5s过期验证
            return HttpResponse('呵呵')
        elif server_md5 != client_md5:  # 动态key验证
            return HttpResponse('呵呵')
        elif temp_key[client_md5]:  # 第一次访问验证
            return  HttpResponse('呵呵')
        else:  # 验证通过,将这次的请求的动态key和时间戳作为记录保存,以作下次第一次访问验证。
            temp_key[client_md5] = timestamp
            return func(request, *args, **kwargs)

    return deco

@api_auth
def view_func():
    pass
Ayhan_huang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript 验证 API
qq_42848534的博客
07-06 257
约束验证 DOM 方法 checkValidity() 方法 如果输入字段包含无效的数据,显示一条消息: <input id="id1" type="number" min="100" max="300" required> <button onclick="myFunction()">OK</button> <p id="demo"></p> <script> function myFunction() { var i
API认证
OUCE2020的博客
01-02 2518
API是美国石油协会(American Petroleum Institute)的英文缩写,创于1919年,是美国第一家商业级的商业学会,也是全世界范围内最早、最成功的制定标准的商会之一。随着石油工业的发展,石油设备厂家日益增多,油田对设备的标准性和安全性的要求也日益提高,于是1923年在API内成立第一个群众性行业的标准化机构标准化部,后译名为生产部(API Production Departm...
API身份验证和授权介绍
weixin_42646630的博客
04-15 1万+
一、前言 用户通常需要注册API KEY或者其他验证方法,才能使用你的服务,一般我们会用到一下集中验证方式 API Keys Basic Auth HMAC OAuth 身份验证:指证明正确的身份, 授权: 允许的动作 API可能会对您进行身份验证,但未授权您发出特定的请求 API缺乏安全性的后果 为什么API需要身份验证API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有请求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意请求等。 二、API Key
api接口安全验证(sign签名和token验证
yifan_lion的博客
03-30 1万+
api接口安全类型 api接口安全类型一般有以下几种类型(不完全): 防止参数篡改,使用url签名方式 防止未授权用户访问,使用用户token验证 防止未授权应用访问或者爬虫,使用appid,appsecret来保证请求授权访问 防止dos攻击浪费资源,使用时间戳timestamp 防止信息泄露,使用https安全访问 防止重放 ...
注册API
qq_41280494的博客
06-20 1026
 ICustomerBll cbll = new CustomerBll();        IUserBll bll = new UserBll();        [HttpPost]        [Route("api/user/regist")]        public object Regist(ViewModel.Customer c)        {            /...
基于http协议的api接口对于客户端的身份认证方式以及安全措施
weixin_30271335的博客
04-26 364
由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsessionid)来辨别客户端的身份的,当客户端进行登录服务器也会将登录信息存放在服务器并与客户端的cookie中的jsessionid关联起来,这样客户端再次访问我们就可以识别用户身份了。 但是对于api服务器,我们不能让访问者先登录再进行访问这样不安全,也不友好...
想了解API接口,这一篇就够了
热门推荐
Mr_Meng__NLP的博客
12-23 5万+
API全称是:Application Programming Interface,即:应用程序接口。开发人员可以使用这些API接口进行编程开发,而又无需访问源码,或理解内部工作机制的细节。
API验证数字签名
05-09
在“用API验证数字签名”这个任务中,我们需要的是一个能够处理数字签名验证API。JEDI API Library是一个开源的项目,提供了多种API接口,包括可能用于数字签名验证的函数。 JEDI API Library可以从SourceForge...
WebApi验证JWT Demo
最新发布
07-23
WebApi验证JWT Demo
C# 赛邮接口短信API验证demo
01-06
C# 赛邮接口短信API验证demo 需要准备API文档里的相关资料还有Submail库和Newtonsoft.Josn库 根据API文档创建相关的类对象 以上代码都不难的根据API文档写就好啦 看不懂的私聊我QQ2773938492 以下是主窗体的调用...
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token)验证**: ...
程序员不得不知道的 API 接口常识
weixin_63930079的博客
05-02 1088
说实话,我非常希望两年前刚准备找实习的自己能看到本篇文章,那个时候懵懵懂懂,跟着网上的免费教程做了一个购物商城就屁颠屁颠往简历上写。 至今我仍清晰地记得,那个电商教程是怎么定义接口的: 管它是增加、修改、删除、带参查询,全是 POST 请求一把梭,比如下面这样: 修改用户的收货地址 POST /xxx-mall/cart/update_address 现在看来,全部用 POST 请求估计是为了传参方便吧。 那个时候自己也没有一个 API 接口需要设计 的意识,跟学过类似教程的朋友应该懂的,老师敲一行代码
如何进行安全可靠的API身份验证
小新的博客
03-28 2184
在开发安全的 REST API 时,身份验证是必不可少的。你可以将你的应用程序想象成一个聚会,那么身份验证就像一扇门,决定哪些客人可以进入——或者更准确地说,哪些请求可以进出。接下来我将介绍四种常用的身份验证方法,包括API密钥、OAuth 2.0、HTTP身份验证方案和JWT身份验证。我们将逐一深入探讨这些技术,以确保我们的虚拟“派对”运行时具有足够的安全性。
API的认证方法(OpenAPI标准解析 - 1)
baijiafan的博客
10-21 5236
服务开发干活,API的认证方法总结
swagger2使用@ApiParam为参数填充注解时无法传输正确的参数到url
代不在‘的博客
11-14 2697
如图,我在控制类中声明一个函数,作用是根据id查找用户信息。在生成swagger文档时,为了让前端更容易理解,需要添加注解,但在添加ApiParam注解后,却出现了输入参数无法正确传到url的报错。 这是不加ApiParam注解的文档。 这是添加ApiParam注解的文档。 解决方法: 在参数列表中,添加@PathVariable注解。 ...
Swagger2.9.2使用@ApiParam遇到的坑
c1085269585的博客
01-19 2576
1.使用@ApiParam产生的问题 public Result delete(@ApiParam("主键id") Integer id){ return adminBiz.delete(id); } 当我按照上面使用@ApiParam的时候Swagger页面是这样显示的 测试的时候根本无法把主键id值传入后台 2.解决方法 添加@RequestParam注解 public Result delete(@ApiParam("主键id") @RequestPara
使用了Swagger的@ApiParam会发生无法正常传入参数的问题
elapse_的博客
02-11 2354
在写一个需要传参验证功能时。 public ResultBean verify(@ApiParam("手机号码")String phoneNumber, @ApiParam("验证码")String userCode) 在没有使用ApiParam参数之前可以正常进行传参功能,但是使用了此注解后发现传参格式会自动变成json格式,然后就无法正常直接输入传参。 会发生以下问题: 也就是传输为null,传不进去。需要将代码写成这个格式: public ResultBean verify(@ApiParam("
开放api接口签名验证
weixin_30527143的博客
03-30 2087
在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制) 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 案列分析 我们通过给某 [移动端(app)] 写...
WEB API项目实战干货系列】- API登录与身份验证(三)
weixin_30856725的博客
10-13 697
上一篇: 【WEB API项目实战干货系列】- 接口文档与在线测试(二) 这篇我们主要来介绍我们如何在API项目中完成API的登录及身份认证. 所以这篇会分为两部分, 登录APIAPI身份验证. 这一篇的主要原理是: API会提供一个单独的登录API, 通过用户名,密码来产生一个SessionKey, SessionKey具有过期时间的特点, 系统会记录这个SessionKey, 在后续的...
web api 验证验证什么内容 细说
03-29
Web API 验证是指在调用 Web API 时对用户身份进行验证的过程。其目的是确保只有授权的用户可以访问和使用 API,从而保证数据的安全性和完整性。 Web API 验证可以验证以下内容: 1. 用户身份验证验证用户的身份和凭据,例如用户名和密码、API 密钥等。这可以确保只有授权的用户可以访问 API。 2. 授权验证验证用户是否具有访问特定资源的权限。例如,某些用户可以读取资源,而其他用户可以对其进行修改或删除。 3. 请求验证验证请求是否具有必需的参数和有效的数据格式。例如,如果请求缺少必需的参数或包含无效的数据,则请求将被拒绝。 4. 防止 CSRF 攻击:验证请求是否来自受信任的来源。如果请求来自不受信任的来源,则请求将被拒绝,以防止跨站点请求伪造攻击。 综上所述,Web API 验证可以保证 API 只能被授权用户访问和使用,从而保证数据的安全性和完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值