生成token以及白名单过滤

最新推荐文章于 2024-05-16 21:02:01 发布
最新推荐文章于 2024-05-16 21:02:01 发布
阅读量505 收藏 11
点赞数 7
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77595648/article/details/135702043
版权

 封装jwt_token,使用这两个函数之前,确保你有一个有效的SECRET_KEY来对令牌进行签名和验证,它通常是一个随机生成的字符串,用来保证JWT的安全性。在生产环境中,不要将SECRET_KEY硬编码在代码中,它应该从环境变量或配置文件中安全地加载。

import jwt
from serve_video.settings.dev import SECRET_KEY


def generate_jwt(payload, expiry):
    _payload = {
        'exp': expiry
    }
    _payload.update(payload)
    token = jwt.encode(_payload, SECRET_KEY, algorithm='HS256')
    return token


def verify_jwt(token):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
    except jwt.exceptions.ExpiredSignatureError:
        # Token已过期
        payload = None
    except jwt.exceptions.InvalidSignatureError:
        # Token签名无效
        payload = None
    return payload

调用封装后的jwt_token通过将精确到微秒的时间加上过期的时间结合用户ID存储到载荷中

def generate_token(request, user):
    login(request, user)
    # 得到一个精确到微秒的当前UTC时间
    expiry = datetime.utcnow() + timedelta(days=3)
    token = generate_jwt({'user_id': user.id}, expiry)
    return token

白名单在Django中间件的定义,WhiteListMiddleware 继承自 MiddlewareMixin。该中间件使用名为 whitelist 的列表来确定哪些路径不应该受到JWT验证的限制。对于请求的路径不在这个白名单中的请求,该中间件会执行一系列的检查和操作。下面将添加注释来解释代码的工作原理:

class WhiteListMiddleware(MiddlewareMixin):
    # 定义白名单路径列表,这些路径不需要进行JWT验证
    whitelist = ['/user/logout/', '/user/baibu/', '/orders/commit/']

    def process_request(self, request):
        # 检查当前请求的路径是否在白名单中,如果在,直接允许通过不进行下面的验证
        if request.path_info not in self.whitelist:
            return

        try:
            # 获取与名称'jwt_token'相关联的Redis连接
            redis_conn = get_redis_connection('jwt_token')
            # 从请求头中读取'Authorization'字段,这是JWT token
            token = request.META.get('HTTP_AUTHORIZATION')

            # 如果Token不存在,返回402响应码和错误信息
            if not token:
                return JsonResponse({"code": 402, 'errmsg': 'Token未提供'})

            # 检查该Token是否在Redis的'logged_out_users'集合的分数中,以确认用户是否已登出
            if redis_conn.zscore('logged_out_users', token):
                return JsonResponse({"code": 406, 'errmsg': '已经退出,不能进行操作'})
            
            # 验证JWT Token的有效性
            payload = verify_jwt(token)

            # 如果payload为空,表示Token无效,返回403响应码和错误信息
            if not payload:
                return JsonResponse({"code": 403, 'errmsg': '无效的Token'})

            # 获取Token的过期时间戳
            exp = payload.get('exp')
            # 获取当前的时间戳
            now = int(time.time())

            # 如果Token已经过期,返回404响应码和错误信息
            if exp is not None and int(exp) < now:
                return JsonResponse({"code": 404, 'errmsg': 'Token已过期'})
            
            # 获取Token中的用户ID
            uid = payload.get('user_id')
            # 将uid保存在request对象中,以便其他地方能够访问
            request.uid = uid
            
            # 正常情况,不返回任何东西表示请求可以继续通过到视图函数
            return None

        except KeyError:
            # KeyError异常,返回405响应码和错误信息
            return JsonResponse({"code": 405, 'errmsg': '关键字错误'})
        except Exception as e:
            # 记录其他类型的异常
            logger.error(e)
            # 返回401响应码和未知错误信息
            return JsonResponse({"code": 401, 'errmsg': '未知错误'})

Axios 拦截器配置和一个检查Token过期的定时器函数。

第一部分:

// Axios 请求拦截器
axios.interceptors.request.use(config => {
  // 尝试从localStorage中获取名为"token"的数据项
  let token = localStorage.getItem("token")
  
  // 如果token存在,则将其添加到即将发送的请求的头部
  // 这样每个请求都会附带Authorization头,携带JWT token
  if (token) {
      config.headers['Authorization'] = token
  }
  
  // 返回配置对象,以便请求可以使用这些配置
  return config;
})

拦截器是 Axios 提供的功能,可以在发送请求之前对其进行处理。这里的拦截器在每次发出请求之前,都会从 localStorage 中获取名称为 “token” 的数据项(如果存在)。如果存在token,则会把这个token添加到请求的头部中的 Authorization 字段里,这种方式通常用于将用户认证信息发送到服务器。

第二部分:

// 定义一个检查Token过期的函数
const checkTokenExpiration = () => {
  // 获取当前时间的时间戳
  const currentTime = new Date().getTime();
  // 尝试从localStorage中获取名为"expireTime"的数据项
  const storedExpireTime = localStorage.getItem('expireTime');

  // 检查当前时间是否已经超过存储的过期时间戳
  if (currentTime > storedExpireTime) {
    // 如果超过了,清除localStorage中的token, user_id和expireTime
    localStorage.removeItem('token');
    localStorage.removeItem('user_id');
    localStorage.removeItem('expireTime');
  } else {
    // 如果没有过期,设置一个定时器,在token过期时刻触发此函数
    setTimeout(checkTokenExpiration, storedExpireTime - currentTime);
  }
};

// 调用函数以启动定时器,以便检查和管理Token的有效性
checkTokenExpiration();

 // 定义一个检查Token过期的函数 const checkTokenExpiration = () => { // 获取当前时间的时间戳 const currentTime = new Date().getTime(); // 尝试从localStorage中获取名为"expireTime"的数据项 const storedExpireTime = localStorage.getItem('expireTime'); // 检查当前时间是否已经超过存储的过期时间戳 if (currentTime > storedExpireTime) { // 如果超过了,清除localStorage中的token, user_id和expireTime localStorage.removeItem('token'); localStorage.removeItem('user_id'); localStorage.removeItem('expireTime'); } else { // 如果没有过期,设置一个定时器,在token过期时刻触发此函数 setTimeout(checkTokenExpiration, storedExpireTime - currentTime); } }; // 调用函数以启动定时器,以便检查和管理Token的有效性 checkTokenExpiration();

白熊先生
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Splunk HEC token 白名单设置-indexes
shenghuiping2001的专栏
09-07 342
Splunk HEC token 白名单设置 - indexes 的设置,还是有时有用的。
Token生成规则以及工具相关代码
06-26
此资源是针对“Token生成规则以及工具”这篇文章的相关代码文章地址:https://blog.csdn.net/kai_1215/article/details/78477146
vue token过期后的处理和网关白名单
qq_42434039的博客
10-28 383
如果返回401,token过期,就消除token。然后刷新就会跳转登录。判断是否登录,已经登陆则获取getinfo。设置让他自己跳到登录,不用刷新。
github 生成token的方法图解
10-14
主要介绍了github 生成token的方法,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
springSecurity整合jwt做系统权限控制
qq_41988229的博客
01-16 926
springSecurity+jwt基于url的权限动态校验
详解Django配置JWT认证方式
09-16
主要介绍了Django 配置JWT认证方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jwt,token白名单过滤。从写中间件。生成token
jiedong_xu的博客
01-23 543
如果需要用户的id可以调用request.id。上面把用户id存到request里面了。从写中间件,在settings文件里面的加上“MIDDLEWARE”中加上封装的。里面的SECRET_KEY需要从配置文件中settings中导过来。封装一个token进行解析判断,校验。
node + express + mysql 实现登陆/token认证/拦截/白名单
qq_29170455的博客
09-25 426
node + express + mysql 实现登陆/token认证/拦截/白名单
07.资源白名单token过期问题
refrain6666的博客
12-04 88
在我的项目中,在网关中统一认证,资源服务器只进行鉴权。若请求没有携带token,则访问一切正常。因为网关处不需要认证,资源服务器也没有token进行解析。,那么就出现了问题,网关还是不会认证,但是资源服务器对token进行解析后防线token过期了。但是如果请求携带了一个。
token在前后端分离的应用(不包含分布式)
weixin_59766629的博客
11-09 87
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且==安全==的,特别适用于==分布式站点的单点登录(SSO)场景==。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。官网:jwt的结构Header。
PyJWT生成token
08-03
使用Pyjwt在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以查看本人...
rest-framework生成token
08-03
使用rest-framework在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以...
Android token生成和上传
11-18
Android token生成和上传(七牛),主要是上传token生成部分。七牛里面没有Android部分的实例代码,写完之后共享给大家。避免再走弯路。
SpringCloud Gateway网关 全局过滤器[header token] 实现用户鉴权,白名单
小哇
01-28 2218
前提:先保证Gateway网关项目 和 Nacos注册中心 等可以正常访问和调用,搭建方法可查看博文https://blog.csdn.net/qq_41712271/article/details/113358022 业务流程 核心代码 package cn.huawei.filter; import org.apache.commons.lang.StringUtils; import org.springframework.cloud.gateway.filter.GatewayFilterCh
Spring Boot接入SaToken简单使用
running17的博客
03-20 1662
Spring Boot接入SaToken简单使用
前后端分离,springboot实现token拦截器,注解放行restfulAPI、白名单过滤
qq_28163999的博客
04-07 3724
放行注解定义 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Inherited public @interface ExcludeInterceptor { } 白名单注解定义 /** @des 白名单验证注解 @author wxg @date 2020年4月7日 */ @Target({ElementTy...
gateway配合yml文件定义白名单配置全局拦截器验证jwt的token
weixin_55695475的博客
11-30 487
【代码】gateway配合yml文件定义白名单配置全局拦截器验证jwt的token
【SSO单点登录】JWT如何防篡改&&主动注销【黑白名单机制】
m0_57042151的博客
10-13 1535
这种方式和cookie/session机制中的会话失效删除session基本一致,但同时也违背了JWT的初衷,每次登录,我们都需要存储token,跟session一样有内存开销问题。上文我们谈到,一般注销只需要前端销毁存储在客户端的token即可,但那样的话,其实token本质上是还能用,一旦泄露了,你的登录状态就能被别人利用。黑名单机制,巧妙的解决了存储的问题,而且存储量是远远小于,大多数情况下,登录状态都是token自动过期了,而不是用户主动注销。JWT 安全的核心在于签名,签名安全的核心在秘钥。
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
最新发布
2401_85000826的博客
05-16 454
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
nodejs token白名单
09-07
在Node.js中,如果需要设置IP白名单以进行调试或测试环境调试,可以通过配置...总结起来,如果要在Node.js中设置token白名单,可以使用适当的中间件来限制只允许白名单中的IP地址访问服务器。<span class="em">1</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值