Python-使用itsdangerous生成临时身份令牌

最新推荐文章于 2023-07-17 10:43:00 发布
最新推荐文章于 2023-07-17 10:43:00 发布
阅读量1k 收藏
点赞数 1
分类专栏: 数据结构与算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocai_xiaodaidai/article/details/103417878
版权

一、作用

可以利用itsdangerous模块支持JSON WEB签名。

二、使用

1、加密

from itsdangerous import TimedJSONWebSignatureSerializer as TJWSSerializer
from itsdangerous import BadData

secret_key= 'afesjyrtrw6457t'
expires_in = 300   # 有效期单位为秒

def generate_token()
    # serializer = TJWSSerializer(秘钥, 有效期单位为秒)
    serializer = TJWSSerializer(SECRET_KEY, expires_in )
	
    # serializer.dumps(数据), 返回bytes类型,比如对用户的id和email进行加密返回前端
    data = {
	    'id': user.id,
	    'email':user.email
	    }
    token = serializer.dumps(data)   # data为要加密的数据
    token = token.decode()   # 得到返回后的带有效期和用户信息的加密token
    return token

2、解密

from itsdangerous import TimedJSONWebSignatureSerializer as TJWSSerializer
from itsdangerous import BadData

# 检验token(secret和有效期(expires_in)需要与生成时一致)
def check_token(token):
	# 验证失败,会抛出itsdangerous.BadData异常
	serializer = TJWSSerializer(secret_key, expires_in )
	try:
		# 获取解密后的数据 bytes:dict
	    data = serializer.loads(token)
	except BadData:
	    return None
	else:
		user_id = data.get('id')
		user_email = data.get('email')
		try:
		    user = User.objects.get(id=user_id,email=user_email)
		except User.DoesNotExist:
		    return None
		else:
		    return user

三、加密原理

1、了解header

以下是header的数据,alg 为加密方法 这里默认使用的是SHA256  iat为保存时间  exp 为过期时间

{"alg":"HS256","iat":1554802652,"exp":1554802952}

2、了解paload

下面的json就是paload这也是我们存进去的数据

{"id":123}

3.、分别对header和paload进行base64编码并用‘.’拼接。这是itsdangerous包内的实现

base64d_header = base64_encode(self.serializer.dumps(header))
base64d_payload = base64_encode(self.serializer.dumps(obj))
return base64d_header + b'.' + base64d_payload

4、接下来就是需要去获取签名sign

签名的算法是将三步骤中的到的字符串 和我们定义的秘钥进行Hmac Sha256,再进行base64编码得到sign

5、组装成token

将4步骤的到的sign 和3步骤得到的拼接字符串 ,通过点进行拼接得到最后的token,一下为样例

eyJhbGciOiJIUzI1NiIsImlhdCI6MTU1NDgwMjY1MiwiZXhwIjoxNTU0ODAyOTUyfQ.eyJpZCI6MTIzfQ.p20JnbpentcEsLmJLCDFrZt3ft7tKrxIs-FU8olK2hw

以上就是itsdangerous的加密过程了,下面来看如何进行解密。

四、解密原理

1、通过上面的了解,我们知道token是通过两个点进行拼接,所以第一步我们就通过点进行切分字符串得到三个字符串分别是base64(header)   base64(paload)  base64(sign) 

2、验证sign的签名有没有被修改过。

将base64(header)+‘.’+base64(paload) 与秘钥进行Hmac Sha256 加密,再通过base64编码得到签名,通过与base64(sign) 比对相同则说明签名没被篡改。

五、注意事项

itsdangerous加密解密非常类似JWT单点登录加密原理。因为paload部分都是可以进行Base64反向解密的,所以都不适合用于传输敏感信息。

 

蓝绿色~菠菜
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
python中令牌是什么_在python中生成安全密码和令牌的最佳做法
weixin_26737679的博客
09-09 1182
python中令牌是什么In this piece, you’ll learn the proper ways to generate strong random passwords and tokens that are cryptographically secured. Having secure random numbers allows us to manage sensitive in...
python模块:itsdangerous生成临时身份令牌
Chenih的博客
02-16 1465
使用itsdangerous生成临时身份令牌 安装 pip install itsdangerous 使用 import itsdangerous salt='sdaf' #加盐 t = itsdangerous.TimedJSONWebSignatureSerializer(salt,expires_in=600)#过期时间600秒 info = { 'username': 'yangfan', 'user_id': 1 } # =========加密token============ res
python-使用itsdangerous生成临时身份令牌
生有涯,知无涯
06-09 699
1.作用: 可以利用itsdangerous模块支持JSON WEB签名。 2.安装 如项目使用到虚拟环境,终端先【workon 虚拟环境名称 】再安装 pip install itsdangerous 3.使用itsdangerous模块 (1)使用TimedJSONWebSignatureSerializer生成带有有效期的token—加密 from itsdangerous impor...
生成随机令牌的工具类实现,可防止表单重复提交(短时间内点击多次)(ps:可修复漏洞CSRF中危漏洞)
Ken-Zhang的专栏
11-13 559
首先工具类代码如下: public class TokenProccessorUtil { HttpServletRequest request = null; /* *单例设计模式(保证类的对象在内存中只有一个) *1、把类的构造函数私有 *2、自己创建一个类的对象 *3、对外提供一个公共的方法,返回类的对象 */ private TokenProccessor
Python itsdangerous,加密解密
houyanhua1的专栏
12-19 279
参考:https://itsdangerous.readthedocs.io/en/1.1.x/ 需要安装itsdangerous:  pip3 install itsdangerous itsdangerous的加密解密,可以用于账户激活链接的生成。   demo.py(加密解密): from itsdangerous import TimedJSONWebSignatureSeri...
Python-SeKey使用TouchIDSecureEnclave进行SSH身份验证
08-10
Python-SeKey是一个创新的Python库,它利用Apple的TouchID和Secure Enclave技术来实现对UNIX/Linux SSH服务器的安全身份验证,无需传统的密码或密钥对。这个库是为那些寻求增强安全性并简化登录过程的Mac用户设计的...
python-openidc-client:具有令牌缓存和管理功能的CLI python OpenID Connect客户端
05-16
`python-openidc-client` 是一个专为Python开发的CLI工具,它支持OpenID Connect协议,并具有令牌缓存和管理功能,这使得开发者在处理身份验证和访问控制时更加便捷。 **OpenID Connect基础** OpenID Connect允许...
Python-使用CSS注入来窃取CSRF令牌无iFrames
08-10
在给定的"Python-使用CSS注入来窃取CSRF令牌无iFrames"主题中,我们探讨的是一种特殊的攻击方式,即通过CSS注入来绕过某些安全措施,非法获取CSRF(跨站请求伪造)令牌。这种攻击策略在不依赖传统iFrame的情况下也能...
Python-使用反卷积网络生成人脸
08-11
使用反卷积网络生成人脸
Python-itsdangerous一系列辅助工具用来将可信的数据传入不可信的环境
08-10
《Python中的itsdangerous:构建安全数据传输的利器》 在Python的世界里,安全性是开发者必须重视的一个...正确地理解和使用`itsdangerous`,可以显著提升你的Python应用程序的安全性,避免因数据篡改导致的潜在风险。
【Python】Django【邮箱验证】 后端验证如何生成 token加密验证码 与如何解码!!!!...
agrj56057的博客
04-24 328
1.生成token验证码方案 ,使用itsdangerous 大宝剑, 可以序列化出验证码,并能设置过期时间 安装itsdangerous pip installitsdangerous 对用户名和邮箱进行序列化生成token码,有效期3600秒,过期后这个token码不能进行解码 from itsdangerous import Timed...
一图看懂 itsdangerous 模块:将受信任的数据传递到不受信任的环境的帮助工具,资料整理+笔记(大全)
常年招收【在读】大学生、研究生、IT一技之长者,远程兼职,待遇丰厚!请私信我!
05-29 765
全文介绍python的 itsdangerous 模块(将受信任的数据传递到不受信任的环境的帮助工具)、函数、类及类的方法和属性。它通过代码抓取并经AI智能翻译和人工校对。是一部不可多得的权威字典类工具书。它是系列集的一部分。后续陆续发布、敬请关注。【原创:AhcaoZhu大侠】
使用itsdangerous生成确认令牌
sinat_34927324的博客
10-28 4263
首先我们来看生成令牌和解码令牌的代码: from itsdangerous import TimedJSONWebSignatureSerializer as Serializer     s = Serializer(app.config['SECRET_KEY'], expires_in=3600)     token = s.dumps({'confirm': 23})
Python-itsdangerous包导入TimedJSONWebSignatureSerializer时报错的情况
qq_45846022的博客
07-17 880
itsdangerous库中导入TimedJSONWebSignatureSerializer报错的情况
Python:itsdangerous 导入加密模块
weixin_45365220的博客
11-27 552
安装加密模块 pip install itsdangerous 使用加密模块 from itsdangerous import TimedJSONWebSignatureSerializer as Serializer from itsdangerous import SignatureExpired # 创建对象 ‘secertkey’为密钥,3600为加密的过期时间(秒数) serializer = Serializer('secretkey', 3600) # 通过dumps()方法对要加密的数
flask的token验证显示“can not import TimedJSONWebSignatureSerializer from itsdangerous,取巧解决
yequn1997的博客
03-08 3078
首先itsdangerous包是已经安装的,在models已导入from itsdangerous import TimedJSONWebSignatureSerializer as Serializer 点入itsdangerous发现是从jws.py导入TimedJSONWebSignatureSerializer,from .jws import TimedJSONWebSignatureSerializer 以下为jws.py文件 `import hashlib import time impor.
python中itsdangerous模块的用法及生成激活token
weixin_42289273的博客
09-05 759
1. 安装itsdangerous pip installitsdangerous 2. 导入类 from itsdangerous import TimedJSONWebSignatureSerializer as Serializer 3. 创建一个对象,包含两个参数,第一个参数是秘钥,第二个参数是过期时间 serializer = Serializer("secretkey", 3600) 4. 创建一个需要加密的字典数据 dict1 = {"confir": 1} 5. 对数.
python flask 令牌token原理及代码实现
w1054230914的博客
02-03 1464
python flask 令牌token原理及代码实现
python token_Python实现JWT(JSON Web Token)认证
weixin_39554172的博客
11-24 638
作者介绍张龙(zero),一线运维老鸟。致力于LINUX/PYTHON/开源技术研究。常见认证方法首先要明白,认证和授权是不同的。认证是判定用户的合法性,授权是判定用户的权限级别是否可执行后续操作。这里所讲的仅含认证。basic认证这是http协议中所带带基本认证,是一种简单为上的认证方式。原理是在每个请求的header中添加用户名和密码的字符串(格式为“username:password”,用b...
django使用python-docx-template批量生成word
最新发布
01-15
python-docx-template是一个Python库,它可以使用Word文档作为模板,然后根据传入的数据批量生成Word文档。在Django中,我们可以利用python-docx-template库来实现批量生成Word文档的功能。 首先,我们需要在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值