Flask_实现token鉴权

最新推荐文章于 2024-09-26 15:29:21 发布
最新推荐文章于 2024-09-26 15:29:21 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: flask 文章标签: flask python 后端 程序人生 软件测试 框架 职业发展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GDYY3721/article/details/131750841
版权

目录

1、安装依赖

2、实现代码

3、测试

源码等资料获取方法

1、安装依赖

pip install flask
pip install pycryptodome

2、实现代码

import random
import string
import time
import base64

from functools import wraps

from flask import Flask, jsonify, session, request, make_response, g
from cryptography.hazmat.primitives.ciphers.aead import AESGCM


SECRET_KEY = "DnKRYZbvVzdhPlF01rtcxmi5Cj36AbCd"


app = Flask(__name__)
app.config["SECRET_KEY"] = SECRET_KEY


# ========================= 数据加密解密方法 ==============================================
def encrypt_aes_gcm(key, data, nonce_len=32):
    """
    AES-GCM加密
    :param key: 密钥。16, 24 or 32字符长度的字符串
    :param data: 待加密字符串
    :param nonce_len: 随机字符串长度
    """
    key = key.encode('utf-8')
    if not isinstance(data, str):
        data = str(data)
    data = data.encode('utf-8')
    # 生成32位长度的随机值,保证相同数据加密后得到不同的加密数据
    nonce = ''.join(random.sample(string.ascii_letters + string.digits, nonce_len))
    nonce = nonce.encode("utf-8")

    # 生成加密器
    cipher = AESGCM(key)
    # 加密数据
    crypt_bytes = cipher.encrypt(nonce, data, associated_data=None)
    return base64.b64encode(nonce + crypt_bytes).decode()


def decrypt_aes_gcm(key, cipher_data, nonce_len=32):
    """
    AES-GCM解密
    :param key: 密钥
    :param cipher_data: encrypt_aes_gcm 方法返回的数据
    :param nonce_len: 随机字符串长度
    :return:
    """
    key = key.encode('utf-8')

    # 进行base64解码
    debase64_cipher_data = base64.b64decode(cipher_data)

    # 提取密文数据
    nonce = debase64_cipher_data[:nonce_len]
    cipher_data = debase64_cipher_data[nonce_len:]

    # 解密数据
    cipher = AESGCM(key)
    plaintext = cipher.decrypt(nonce, cipher_data, associated_data=None)
    return plaintext.decode()


# ========================= 鉴权部分 ==============================================
def generate_token(username, expiration=3600):
    """ 生成token生成token的密钥
    :param username: 生成token的信息
    :param expiration: token有效时间,单位秒
    """
    expiration = int(time.time() + expiration)
    data = {'username': username, "expiration": expiration}
    return encrypt_aes_gcm(SECRET_KEY, data)


def decrypt_token(token):
    """ 解析token """
    data = decrypt_aes_gcm(SECRET_KEY, token)
    return eval(data)


def login_required(func):
    """ 鉴权装饰器 """

    @wraps(func)
    def wrapper(*args, **kwargs):
        # 获取存储的token(如果登录视图使用redis存储的token,这里需要改为从redis获取)
        s_token = session.get("token")

        # 获取请求中带的token
        r_token = request.headers.get("token")

        # 验证请求中是否带有token
        if r_token is None:
            return jsonify(code="4000", msg="鉴权失败")

        # 验证服务器存储的session是否存在
        if s_token is None:
            return jsonify(code="4010", msg="授权失效")

        # 验证token是否匹配
        if s_token != r_token:
            return jsonify(code="4000", msg="鉴权失败")

        # 验证token是否失效
        data = decrypt_token(r_token)
        g.username = data.get("username")     # g变量存储username。(g变量每次请求会重置,可以理解为同一个视图的全局变量)
        expiration = data.get("expiration")
        if expiration < int(time.time()):
            return jsonify(code="4010", msg="授权失效")

        # 还可以继续验证接口签名
        return func(*args, **kwargs)
    return wrapper


# ========================= api接口 ==============================================
@app.post('/login')
def login():
    req = eval(request.data)
    username = req.get('username')
    password = req.get('password')

    # 验证账密
    if username != "admin" and password != "admin":
        return jsonify(code="1000", msg="用户名或密码错误")

    # 账密验证通过,生成token
    token = generate_token(username)

    # 存储token(建议改用redis存储)
    session["token"] = token

    # 定义响应信息
    resp = make_response(jsonify(code="0", data={'token': token}, msg="登录成功"))
    resp.headers["token"] = token
    return resp


@app.post('/index')
@login_required
def index():
    # 视图中使用加密token用到的用户数据
    username = g.username
    return jsonify(code="0", data=f"{username}发起请求", msg="请求成功")


if __name__ == '__main__':
    app.run()

流程图

3、测试

请求接口不传token

请求接口传有效token

请求接口传失效token

源码等资料获取方法

各位想获取源码等教程资料的朋友请点赞 + 评论 + 收藏,三连!

三连之后我会在评论区挨个私信发给你们~

bug捕手
关注
专栏目录
python token flask_使用python/flask实现鉴权
weixin_39794734的博客
12-05 1080
上一篇文章介绍了使用JWT协议来做token认证的功能,继续装逼下去,怎样实现一个鉴权的模块?假设token认证的功能已经完成,那么设定为每次请求头部中都带上这个token。server端在每次响应请求时都要做一次token的校验,包括两个内容:token是否合法,token是否过期、是否被篡改,token内的信息是否有效用户是否有权限执行此请求在python/flash上,这个检验使用decor...
【自动化运维新手村】Flask-权限校验
weixin_40489165的博客
02-20 2198
上一章节,我们主要对Web应用的用户认证做了详细的讲解,包括使用Flask实现用户注册,登录,并通过Session机制实现用户保持登录。那么在了解了用户认证之后,这一章节我们就着重介绍一下权限校验的原理以及实现方式。
falsk token鉴权
时越的博客
11-14 379
from flask import Flask, g from flask_httpauth import HTTPTokenAuth app = Flask(__name__) # auth = HTTPTokenAuth(scheme='Bearer',header='token') auth = HTTPTokenAuth(header='token') tokens = { "secret-token-1": "John", "secret-token-2": "Susan" }
Python项目Flask框架实现jwt用户登录、鉴权,亲测好用
最新发布
m0_58709145的博客
09-26 713
jwt(JSON Web Tokens),在用户认证当中常用的方式,在如今的前后端分离项目当中应用广泛,提高了后端代码的简洁和效能。
flask服务鉴权
xkx_07_10的博客
09-22 1284
你可以编写自己的装饰器函数来实现鉴权逻辑。# 用户认证函数,根据用户名和密码验证用户# 实际应用中,这里应该根据用户名和密码进行验证# 自定义装饰器函数,用于鉴权@wraps(f)app.run()
FLASK中的鉴权的插件Flask-HTTPAuth
javascript_good的博客
09-17 832
在 Web 应用中,我们经常需要保护我们的 api,以避免非法访问。比如,只允许登录成功的用户发表评论等。Flask-HTTPAuth 扩展可以很好地对 HTTP 的请求进行认证,不依赖于 Cookie 和 Session。本文主要介绍两种认证的方式:基于密码和基于令牌 (token)。
基于Flask实现用户登录鉴权模块
GoProLin的博客
07-13 1416
使用Flask实现一个简单的用户鉴权模块,后端数据库使用Sqlite,在业务上主要包括用户管理、权限管理。用户角色主要分为管理员(admin) 普通用户(user) 访客(guest)为求方便,不考虑注册功能实现
flask 实现token机制的示例代码
09-18
在本文中,我们将深入探讨如何使用Flask框架实现基于Token的身份验证机制。Token验证是一种常见的安全实践,特别是在前后端分离的架构中,用于确保客户端(通常是浏览器)与服务器之间的通信安全。以下是一份详细的...
Flask实现JWT验证方式,令牌刷新
weixin_44806438的博客
08-06 1274
后端分离模式 Flask Web验证方式(尝试过的): cookie cookie跨域是个比较麻烦的问题 # 在manage.py实例app后,加上钩子函数 @app.after_request def after_request(res): resp = make_response(res) res.headers['Access-Control-Allow-Origin'] = request.origin res.headers["Access-Control-All
Flask-RestAPI-jwt:具有用户身份验证的Flask Rest API
04-12
JWT代表JSON WEB TOKEN,是在两方或实体之间传输随机令牌的一种安全方法。 API(应用程序编程接口)允许两个应用程序之间的通信来检索或提交数据。 REST API属于请求-响应类别。 Flaskpython开发人员用来构建...
如何在Flask应用程序中使用JSON Web Tokens进行安全认证
晓风晓浪
04-22 762
JSON Web Tokens,简称JWTs,是一种用于在客户端和服务器之间安全传输信息的认证机制,使用JSON格式。这些信息可以被验证和信任,因为它使用HMAC算法或使用RSA或ECDSA的公钥/私钥对进行数字签名。**Header:**这定义了令牌的类型(JWT)和使用的签名算法。**Payload:**这承载着用户特定的数据,如用户ID、用户名、角色和您想要包含的任何其他声明。此有效载荷被Base64编码以获得最大的安全性。
Python-Flask的授权工具
08-10
Flask-Allows是一个受django-rest-framework的权限系统和rest_condition将简单的需求组合成更为复杂的系统的能力的Flask鉴权工具。
todo-api-python-flask:具有身份验证,处理权限和MongoDB的经典To Do API
02-17
todo-api-python-flask:具有身份验证,处理权限和MongoDB的经典To Do API
Flask + PyJWT 实现基于Json Web Token的用户认证授权
极客点儿
01-16 7797
这是我在做用户认证开发过程中看到一位大神写的文章,不过源地址已经失效了,希望有可能未来还能看到传送门。在此转载是不忍心这么好的文章绝版 我在 github 上找到了作者的源码,有需要的可以去下载https://github.com/yaoyonstudio/flask-pyjwt-auth 在程序开发中,用户认证授权是一个绕不过的重难点。以前的开发模式下,cookie和session认证是主...
flask 实现接口权限管理
judahwang的博客
05-06 453
【代码】flask 实现接口权限管理。
Flask 实现Token认证机制
CSDN
11-27 5286
Flask框架中,实现Token认证机制并不是一件复杂的事情。除了使用官方提供的`flask_httpauth`模块或者第三方模块`flask-jwt`,我们还可以考虑自己实现一个简易版的Token认证工具。自定义Token认证机制的本质是生成一个令牌(Token),并在用户每次请求时验证这个令牌的有效性。
Flask定义token以及利用token验证登录
飘落の楓葉
12-25 9360
导入的包 from flask import Flask, jsonify, current_app, request from flask_pymongo import PyMongo from itsdangerous import TimedJSONWebSignatureSerializer as Serializer from flask_sqlalchemy import SQLAl...
Flask中基于Token的身份认证
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
02-18 2627
Flask提供了多种身份认证方式,其中基于Token的身份认证是其中一种常用方式。基于Token的身份认证通常是在用户登录之后,为用户生成一个Token,然后在每次请求时用户将该Token作为请求头部中的一个参数进行传递,服务器端在接收到请求后验证该Token是否有效。
python token flask_flask 实现token机制
05-30
要在 Flask实现 Token 机制,可以使用 JWT(JSON Web Tokens)库。下面是一个简单的示例代码: ```python from flask import Flask, request from flask_jwt import JWT, jwt_required, current_identity from ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值