flask HTTPAuth封装:同时支持Token和Basic认证的解决方案

最新推荐文章于 2024-05-03 14:58:02 发布
最新推荐文章于 2024-05-03 14:58:02 发布
阅读量651 收藏
点赞数
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a66920164/article/details/129982708
版权

背景

项目通过Flask构建的服务端需要增加用户认证功能,而服务端除了为前端页面提供接口以外,还需要开放API接口供其他系统调用,同样的新增的用户认证功能也要同时适配这两种应用场景。

需求分析

  • 前端页面为了保证访问页面的流畅以及浏览器兼容性,最好是使用token或session做用户认证,因为前端有跨域需求,调用cookie比较麻烦,因此这里直接使用token。
  • 而在API接口调用的需求中,使用basic认证会比较方便,只需要在请求头附带账号密码即可,如果使用token验证方式使用API接口的话,则需要先从认证端口获取一个token,再在后续的api请求中附带这个token,对接方面会增加复杂度。
  • 从flask_httpauth库中可以看到flask封装好的几种认证方式:Basic认证、Digest认证、Token认证等,通过继承对应的这几个类即可实现这几种认证方式,但由于不同认证方式是通过scheme这个参数配置的,因此不存在能同时适配多种认证方式的封装,需要自行开发;
    在这里插入图片描述

代码

以下是基于HTTPAuth类进行的封装,通过重写authenticate、get_auth这两个类,在收到认证请求时根据请求头(Basic Auth认证对应请求头为Basic,Token认证对应请求头为Bearer)选择对应的解析以及验证方式,从而实现了对两种认证请求的同时支持。

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer, BadSignature, SignatureExpired
from flask import make_response, jsonify
from flask import make_response, jsonify, session, request
from flask_httpauth import HTTPAuth
from werkzeug.datastructures import Authorization
from base64 import b64decode,b64encode

class AuthBase(HTTPAuth):
    def __init__(self, *args,**kwargs):
        super().__init__(*args,**kwargs)
        self.verify_password_callback = None
        self.verify_token_callback = None
        self.auth_verify()

    def verify_password(self, f):
        self.verify_password_callback = f
        return f

    def verify_token(self, f):
        self.verify_token_callback = f
        return f

    def authenticate(self, auth, stored_password):
        if auth:
            if auth.type.upper() == 'BASIC' :
                if auth:
                    username = auth.username
                    client_password = auth.password
                else:
                    username = ""
                    client_password = ""
                if self.verify_password_callback:
                    return self.ensure_sync(self.verify_password_callback)(
                        username, client_password)
            elif auth.type.upper() == 'BEARER' :
                token = auth['token']
                if self.verify_token_callback:
                    return self.ensure_sync(self.verify_token_callback)(token)
        else:
            token = ""
            if self.verify_token_callback:
                    return self.ensure_sync(self.verify_token_callback)(token)

    def get_auth(self):
        auth = None
        if self.header is None or self.header == 'Authorization':
            auth = request.authorization
            if auth is None and 'Authorization' in request.headers:
                try:
                    header = request.headers['Authorization'].encode('utf-8')
                    auth_type = header.split(b' ', 1)[0].decode('utf-8')
                    if auth_type.upper() == 'BASIC' :
                        credentials = header.split(b' ', 1)[1]
                        encoded_username, encoded_password = b64decode(credentials).split(b':', 1)
                        try:
                            username = encoded_username.decode('utf-8')
                            password = encoded_password.decode('utf-8')
                        except UnicodeDecodeError:
                            # try to decode again with latin-1, which should always work
                            username = encoded_username.decode('latin1')
                            password = encoded_password.decode('latin1')
                        auth = Authorization(auth_type, {'username': username, 'password': password})
                    elif auth_type.upper() == 'BEARER' :
                        token = header.split(b' ', 1)[1]
                        auth = Authorization(auth_type, {'token': token})
                except (ValueError, KeyError):
                    pass
        elif self.header in request.headers:
            auth = Authorization(self.scheme,{'token': request.headers[self.header]})
        if auth is not None and auth.type.upper() not in ['BASIC','BEARER']:
            auth = None
        return auth

使用方式上和flask原生认证类一样,通过被@verify_token、@verify_password装饰器装饰的函数实现Basic、Token认证逻辑,@login_required装饰器实现认证保护。
以下是一个参考示例:

class AuthToken(AuthBase):
    def __init__(self, *args,**kwargs):
        super().__init__(*args,**kwargs)
        self.auth_token()

    def auth_token(self):
        @self.verify_password
        def __verify_password(account,passwd):
            return_value = None
            if account == "":
                return None
            else :
                FlaskMsg(f">>> BASIC验证: 用户[{account}]")
            try :
                pwd = db.query_pwd(account)
                if passwd == pwd : 
                    FlaskMsg(f">>> BASIC验证: 用户[{account}]验证通过")
                    return_value = account
            except Exception as e:
                FlaskMsg(f">>> BASIC验证失败\n异常信息:{e}")
                return_value = None
            finally: 
                return return_value

        @self.verify_token
        def verify_token(token):
            form_data = unpack_auth_token(token)
            if form_data == False : 
                return False
            elif 'account' in form_data:
                return True
            else :
                return False
                
def generate_auth_token(form_data):
    s = Serializer(SECRET_KEY, expires_in=TOKEN_EXPIRATION)
    return s.dumps(form_data)

def unpack_auth_token(token):
    s = Serializer(SECRET_KEY, expires_in=TOKEN_EXPIRATION)
    try:
        form_data = s.loads(token)
    except SignatureExpired:
        FlaskMsg(f">>> Token已过期,当前Token刷新时间[{TOKEN_EXPIRATION}]s")
        return False
    except BadSignature:
        FlaskMsg(f">>> Token校验不通过,Token: [{token}]")
        return False
    return form_data

验证

  • Basic Auth认证:Postman在Authorization中设置Basic Auth用户名密码后,可以调用api端口返回数据
    在这里插入图片描述
  • Token认证:Postman在Authorization中设置Token为从认证接口获取的Token后,同样可以调用api端口返回数据
    在这里插入图片描述
a66920164
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FlaskAuth:使用 Python Flask 框架编写的 Web 应用程序,允许用户创建帐户、登录和修改其中的信息。 代码已注释并提供flask、sql 和jinja2 模板的教程。 稍后可能会提供特定于应用程序的文档
06-13
烧瓶验证 使用 Python Flask 框架编写的 Web 应用程序,允许用户创建帐户、登录和修改其中的信息。 代码已注释并提供flask、sql 和jinja2 模板的教程。 稍后可能会提供特定于应用程序的文档。 注意这个应用程序是我正在构建的一个更大的应用程序的一个精简的、丑陋的例子。 我将它作为资源发布在这里,供其他人用来学习 Flask 并开始在开发环境中使用该框架。 要快速开始使用此代码,请按照以下步骤操作。 1.) 在 pythonanywhere.com 上创建一个免费帐户 2.) 在控制台选项卡中打开一个 bash 控制台并运行以下命令; git init git clone 3.) 这应该克隆整个 repo 并在你的 pythonanywhere 目录中创建一个 FlaskAuth 文件夹。 4.) 在 Web 选项卡中创建一个新的 Web 应用程序。 选择fl
SpringSecurityOauthtokenBasic、Bearer)
chinoukin的博客
07-17 5978
这里写自定义目录标题用户basic认证bearer授权访问 用户 username:chinoukin password:123456 ’chinoukin:123456’的base64:Y2hpbm91a2luOjEyMzQ1Ng== basic认证 下面两种方式等价 curl http://chinoukin:123456@localhost:8080/boot curl -H 'Autho...
Flask Web开发基础实战-1.0用户认证与注册模块
SteveDraw的博客
09-28 3983
对于许多程序以及社交类的媒介,都需要对访问人有一个专门的认证状态(即登录账户),这会让程序记录和跟踪用户,以便提供更好地适配服务,提高用户体验!同样flask web开发时也是很重要的,这是许多网站所要提供的一类基础功能! 我们前面说过flask相对Django来说就是自由选配度高,二次开发方便,但相对来说,内聚程度也相对较低,例如,数据库和登录认证功能,flask需要开发者自己集成和组织该类模块,Django会很好地提供这类完整的服务,但也不会让你改动和变化太多!
python flask curl_使用 Flask 设计 RESTful 的认证
weixin_39747721的博客
11-28 149
基于令牌的认证¶每次请求必须发送 username 和 password 是十分不方便,即使是通过安全的 HTTP 传输的话还是存在风险,因为客户端必须要存储不加密的认证凭证,这样才能在每次请求中发送。一种基于之前解决方案的优化就是使用令牌来验证请求。我们的想法是客户端应用程序使用认证凭证交换了认证令牌,接下来的请求只发送认证令牌。令牌是具有有效时间,过了有效时间后,令牌变成无效,需要重新获取新的...
HTTP Basic, Session, Token 三种认证方法简介
haiiiiiyun的博客
03-14 1281
1. 概述 本文简介 HTTP Basic,Session,Token 三种认证方法。 Basic 认证:户籍部门已给你签发了一张身份证。你每次去办事,都要带上身份证证,后台要拿你的身份证去系统上查一下。 Session 认证:户籍部门已给你签发了一张身份证,但只告诉你身份证号码。你每次去办事,只要报出你的身份证号码,后台要查一个即否有效。 Token 认证:户籍部门已给你签发了一张有防伪功能的...
flask-HTTPAuth 基本认证
yibuchen的博客
05-30 6613
Mr chen最近在研究flask-HTTPAuth 摘要,就顺便把基本认证也看了看,两者的区别就不讲了,网上很多讲的,总结起来就是一句摘要认证比基本认证安全就对了,下面先说说基本认证flask-HTTPAuth是一个简单的扩展,它简化了使用Flask路径的HTTP认证使用。基本认证的例子(Basic authenticationexample)下面的示例应用程序使用HTTP基本身份验证来保护路...
Flask 扩展 HTTP认证
weixin_34220179的博客
06-21 230
Restful API不保存状态,无法依赖Cookie及Session来保存用户信息,自然也无法使用Flask-Login扩展来实现用户认证。所以这里,我们就要介绍另一个扩展,Flask-HTTPAuth。 pip install flask-httpauth 接下来创建扩展对象实例: from flask import Flask from flask_httpauth import...
pythonflask-httpauth库用法详解
IT之一小佬的博客
03-06 920
pythonflask-httpauth库用法详解
Flask-HTTPAuth 分析
示例和笔记
06-01 306
Flask-HTTPAuthFlask 的一个扩展,用于基于 HTTP 认证构建认证和授权系统。它提供了两种认证方式:基本认证(使用用户名和密码)和令牌认证(使用令牌)。其程序结构如下:这样就完成了基本的 Flask-HTTPAuth 认证和授权系统的搭建。
《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 3152
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要鉴权方式
Flask-HTTPAuth:简单的扩展,为Flask路由提供基本,摘要和令牌HTTP身份验证
02-05
简单扩展,为Flask路由提供基本和摘要HTTP身份验证。 安装 安装它的最简单方法是通过pip。 pip install Flask-HTTPAuth 基本身份验证示例 from flask import Flask from flask_httpauth import HTTPBasicAuth from...
flask-basicauth:FlaskHTTP基本访问身份验证
05-22
Flask-BasicAuth Flask-BasicAuthFlask扩展,它提供了一种简单的方法,可以使用HTTP保护某些视图或整个应用程序。 链接
flask-angular-http-auth:用flask 和 angular 实现HTTP Basic Auth
05-14
Flask 和 AngularJs 实现HTTP认证本文介绍用Flask 和 AngularJs 实现 HTTP Basic Auth。要实现登录认证功能,常用的有以下这两种方法:这两种方法各有优劣,Basic access authentication 主要是胜在简单,只需要...
flask-bs4:Bootstrap 4和5支持Flask
05-06
BS4Bootstrap v5.0.0-beta1已知错误: 无法从CDN服务v5.0.0-beta1,因为它试图加载v5.0.0与Bootstrap文档的差异: _wrap_boolean将有额外div不类,如果是FORM_TYPE basic或floating用法这是一个例子: from flask_...
flask-rebar-auth0:Auth0的Flask-Rebar身份验证器
05-24
Flask-Rebar-Auth0 简单身份验证。 您的访问令牌必须是,此身份验证器才能工作。 初始化 # Config app . config . from_mapping ({ "AUTH0_ENDPOINT" : "perdu.auth0.com" , # The Auth0 domain for your tenant ...
Flask简介
大河之犬的博客
04-30 1104
Flask算是小型框架,小到可以称为“微框架”。Flask 非常小,因此你一旦能够熟练使用它,很可能就能读懂它所有的源码。但是,小并不意味着它比其他框架的功能少。Flask 自开发伊始就被设计为可扩展的框架,它具有一个包含基本服务的强健核心,其他功能则可通过扩展实现。你可以自己挑选所需的扩展包,组成一个没有附加功能的精益组合,从而完全精确满足自身需求。
Flask 系统教程 3】请求与响应
PengXing_Huang的博客
05-02 822
详细介绍Flask的请求与响应,包括设置请求方式,重定向,设置响应对象,查询参数以及文件上传等内容。
Flask开发实战】flask装饰器介绍
最新发布
有莘不破的博客
05-03 1198
flask实战项目之装饰器使用的介绍
基于Flask的岗位就业可视化系统(一)
ZShiJ的博客
04-24 1787
本项目综合了基本数据分析的流程,包括数据采集(爬虫)、数据清洗、数据存储、数据前后端可视化等推荐阅读顺序为:数据采集——>数据清洗——>数据库存储——>基于Flask的前后端交互,有问题的话可以留言,有时间我会解疑~
创建Flask-HTTPAuth
03-04
我可以回答这个问题。创建 Flask-HTTPAuth 是为了在 Flask 应用程序中实现基于 HTTP 的身份验证。它提供了一种简单的方式来保护您的应用程序的特定部分,只允许授权用户访问。您可以使用 Flask-HTTPAuth 来实现基本身份验证、令牌身份验证和 OAuth 身份验证等不同类型的身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值