Token学习小结

最新推荐文章于 2024-05-16 14:30:24 发布
最新推荐文章于 2024-05-16 14:30:24 发布
阅读量884 收藏 1
点赞数
分类专栏: python django token 文章标签: django github 代码分析 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/celia_csd2/article/details/78431864
版权
python 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
django
3 篇文章 0 订阅
订阅专栏
token
1 篇文章 0 订阅
订阅专栏

前言

最近一段时间研究了Django中基于token的用户验证机制,在Django的文档中,只是简单的提到可以通过token自定义用户验证系统,于是在github上找到Django-tokenapi,将它在自己的项目上进行了安装与测试,同事详细读了它的代码。

Django-tokenapi中token的加密方式

代码分析

在token的生成中,可以有不同的构成方式,在Django-tokenapi中源码如下:

    def _make_token_with_timestamp(self, user, timestamp):
        # timestamp is number of days since 2001-1-1.  Converted to
        # base 36, this gives us a 3 digit string until about 2121
        ts_b36 = int_to_base36(timestamp)

        key_salt = "tokenapi.tokens.PasswordResetTokenGenerator"

        value = (six.text_type(user.pk) + user.password + six.text_type(timestamp))
        hash = salted_hmac(key_salt, value).hexdigest()[::2]
        return "%s-%s" % (ts_b36, hash)

可以看出它在生成token的时候,用到了一些参数值,如用户pk、用户密码、时间戳等。其实在salted_hmac() 中还用到了settings.py 中的SECRET_KEY ,这个参数没有在参数列表中写出来:
user.pk :用户pk
user.password :用户密码
timestamp :时间戳,在这里其实是某设定日期到当前日期的天数
SECRET_KEY :它的值设定在settings.py 中,由于它在站点配置中设置,所以对其他人来说,生成的token值是不可预测的
key_salt :它的值在有些地方被解释为硬编码,其实就是一段固定值,看了Django’s reset password mechanism这篇文章,我暂时将它理解为在token生成时对不同应用场景的描述,它会影响生成的token值(有待研究)

token结构

这里生成的token如4my-87c88b35dad48ff02a1b ,由三部分构成,4my 是将时间通过int_to_base36(timestamp) 编码(相当于转换为36进制)后的值,能够反解出来。- 仅仅是连接线,87c88b35dad48ff02a1b 就是通过前面的参数加密后得到的值。
jwt值得一看

Token模式跟session模式的对比

Token存在cookie与local storage中的研究

Token的有效期

总结

JerryWang_C
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
token-generator:离线令牌生成器和验证器
06-15
令牌生成器 离线令牌生成器和验证器 它是什么,它有什么作用? 它工作在一个动态变量之上,一个过期的时间戳。 我们简单地从中创建两个字符串:一个哈希部分和一个混淆的时间戳,然后将它们连接成一个字符串,瞧,我们有一个令牌! 每次调用.generate都会生成不同的令牌,因为过期时间戳总是在变化。 在您的服务器到达令牌的到期时间戳之前,它们将始终有效,即使在不同的进程或不同的节点上,因为您在它们之间共享完全相同的配置。 看起来很复杂? (如果没有,你真的应该深入研究并帮助我们做得更好) 我为什么要使用它? 它是开源的,可以免费使用; 你可以为它做出贡献; 它是可扩展的,因为它建立在之上; 您不必维护数据库表等数据源来存储令牌,每个令牌都带有自己的检查; 它是安全的,您可以通过提供自己的哈希方法来提高安全性; 我们也在使用它,如果我们相信它,你也应该这样做! 安装 np
使用Token进行身份验证
热门推荐
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
GPT4模型的token可视化
最新发布
python1222_的博客
05-16 937
无论您是科研人员、工程师,还是对AI大模型感兴趣的爱好者,这套报告合集都将为您提供宝贵的信息和启示。像GPT-3.5和GPT-4这样的模型使用的方法与旧模型(比如GPT-2)会有不同,不同的token算法对于相同的输入文本会产生不同的token序列。作为普通人,入局大模型时代需要持续学习和实践,不断提高自己的技能和认知水平,同时也需要有责任感和伦理意识,为人工智能的健康发展贡献力量。通过该网站工具,你可以了解一段文本如何被GPT-4模型token化的,以及文本的被token化之后的token总数是多少。
浅谈token认证
weixin_43887870的博客
05-19 4716
Token 使用token一般的身份验证流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据 Jwt就是一个token的具体实现方式,即:JSON Web
Token验证怎么验证的
大连赵哥的博客
02-25 1482
Token验证怎么验证的
Token的验证流程以及用法
successLadder的博客
07-18 3166
一、身份验证流程 1、用户向服务器发送用户名和密码。 2、服务端收到请求,去验证用户名与密码 3、验证成功后,服务端会签发一个 Token,将这个 Token 发送给客户端。 4、客户端收到 Token 以后可以把它存储起来,放在 Cookie 里或者 Local Storage 里 5、用户随后的每一次请求,都会通过 Cookie,将 token 传回服务器。 6、服务端收到请求,然后去验证客户...
JWT Token生成及验证(源码)
04-12
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛...总结来说,这个压缩包包含了一个关于JWT Token生成和验证的示例项目,你可以通过研究代码学习如何在实际应用中安全地使用JWT进行身份验证和授权。
token-servlet使用案例.zip
06-06
总结,"token-servlet使用案例.zip"提供的示例是一个很好的学习资源,帮助开发者理解并实践Token机制在Java Web中的应用,尤其是如何在Servlet中实现Token验证。通过对源代码分析和调试,开发者能够深入理解Token...
onenet对接token计算C语言实现
03-27
标题中的"onenet对接token计算C语言实现"指的是在...总结来说,实现"onenet对接token计算C语言实现"涉及了C语言编程、物联网协议、加密算法、网络通信以及平台API接口等多个方面,是物联网开发中一项重要的技术实践。
美团Token测试.7z
05-14
总结,"美团Token测试.7z"中的C#项目展示了如何利用CefSharp库与美团平台交互,获取并处理Token的过程。这涵盖了网络请求、JavaScript交互、身份验证和安全实践等多个IT领域的知识点。通过学习这个项目,开发者可以...
阿里云语音合成获取token-tts.zip
05-22
总结来说,这个压缩包提供了一个使用Unity和C#对接阿里云语音合成Web API的示例,主要涉及了获取token和调用语音合成API的核心流程。开发者可以通过学习这个示例,快速掌握如何在自己的项目中应用阿里云的语音合成...
Token详解及安全验证
qq_59125846的博客
05-18 5991
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
token学习与使用
weixin_52259848的博客
10-05 4531
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此**Token返回给客户端**,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
Spring Oauth2-Authorization-Server中OAuth2TokenGenerator 生成
面朝大海,春暖花开
05-04 2266
Spring Oauth2-Authorization-Server OAuth2TokenGenerator token生成 基于 spring-security-oauth2-authorization-server 0.2.3 OAuth2TokenGenerator @FunctionalInterface public interface OAuth2TokenGenerator<T extends OAuth2Token> { /** * Generate an OAuth
token登陆验证
qq_20786911的博客
03-07 1万+
登陆业务的实现 由于http是无状态的,那么应该如何记住登录状态呢? 单一应用的服务中常见做法是在客户端cookie中保存sessionId,服务器端的session中保存sessionid,每次客户端发送请求的时候都带上sessionid,在服务器端进行验证。 在分布式系统中,由于服务器之间不能共享内存,因此服务器之间session不能互通,因此不能使用session去存储用户的登录信息,一般使...
了解基于Token的身份验证的来龙去脉
让我们荡起双桨的博客
03-29 9435
简介 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 以下几点特性会让你在程序中使用基于Token的身份验证 1.无状态、可扩展  2.支持移动设备  3.跨程序调用  4.安全   那些使用基于Token的身份验证的大佬们 大部分你见到过的API和Web应用
移动端与PHP服务端接口通信流程设计(基础版)
weixin_30825199的博客
05-29 801
转载自:http://blog.snsgou.com/post-766.html --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录...
transformer token
07-27
总结起来,Transformer模型中的token是指输入序列中的每个词语或图像中的每个图像块。它们经过tokenization分割,并通过embedding层转化为向量表示。在NLP中,还有一个特殊的token称为CLS,用于标注句子的语义。在CV...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值