15分钟详解 Python 安全认证的那些事儿~

最新推荐文章于 2024-09-02 07:48:07 发布
最新推荐文章于 2024-09-02 07:48:07 发布
阅读量820 收藏 4
点赞数 1
文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenchen5152/article/details/116083121
版权
本文深入探讨Python安全认证,重点关注OAuth2、OpenID Connect和JWT。阐述了OAuth2作为第三方登录协议,OpenID Connect增强OAuth2功能,以及JWT的结构和使用。通过实例展示了JWT的生成和验证过程,以及在实际开发中获取Token的方法。
摘要由CSDN通过智能技术生成

系统安全可能往往是被大家所忽略的,我们的很多系统说是在互联网上"裸奔"一点都不夸张,很容易受到攻击,系统安全其实是一个复杂且庞大的话题,若要详细讲来估计用几本书的篇幅都讲不完,基于此本篇及下一篇会着重讲解在我们开发系统过程中遇到的一些安全校验机制,希望能起到抛砖引玉的作用,望各位在开发过程中多多思考不要只局限于功能实现上,共勉~

在系统安全、身份验证以及权限授权方面通常来说有各种各样的处理方式,但大多都比较复杂。在很多框架和系统里,涉及安全和身份验证的工作往往都比较繁琐,并且代码量也巨大,基于此也出现了一些相关的协议和相关库 我们今天就一起来了解一下相关的内容

1.常见认证规范/协议

1.1OAuth2

OAuth2 是一种协议规范,定义了几种用来身份验证和权限授权的处理方式。它是一种可扩展的协议规范,涵盖了几种复杂的使用场景。并且包含了基于第三方身份验证的处理方法。我们常见的"使用微信登陆"、"使用 QQ 登陆"等第三方登陆方式的底层技术就是基于 OAuth2 实现的。

1.2OpenID Connect

OpenIDConnect 是另一种基于 OAuth2 的协议规范。它扩展了 OAuth2 的部分功能,让以前相对模糊的功能变得可操作性更强。常见的 Google 登陆就是基于 OpenID Connect 实现的。

1.3OpenAPI

OpenAPI 是一套构建 API 的开放标准。FastAPI 是基于 OpenAPI 构建而成。

OpenAPI 支持以下几种安全机制:

1.apiKey:应用指定的 key 来自于

(1) 查询参数
(2) header 信息
(3) cookie 信息

2.http:支持标准的 http 身份验证系统,包括:

bearer:头信息 Authorization 的内容中带有 Bearer 和 token 信息,继承自 OAuth2
HTTP 基本认证
HTTP 摘要认证

3.oauth2

4.openIdConnect

FastAPI 通过引入 fastapi.security 模块,可以支持以上所有安全机制,并且简化了使用方法。

2.JWT

2.1JWT 的概念

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

2.2JWT 的组成

一个 JWT 实际上就是一个字符串,它由三部分组成:头部、载荷与签名。将这三段信息文本用.链接一起就构成了 Jwt 字符串。就像这样:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

头部(Header)

JWT 的头部承载两部分信息:
1、声明类型,这里是 jwt
2、声明加密的算法,通常直接使用 HMAC SHA256
我们使用 base64 解析一下 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 这个子串 可以得到:

{
   
  "typ": "JWT",
  "alg": "HS256"
}

可以看出: 在头部指明了签名算法是 HS256 算法。

2.3载荷(Payload)

载荷就是存放有效信息的地方。这些有效信息包含三个部分
1、标准中注册的声明
2、公共的声明
3、私有的声明

标准中注册的声明 (建议但不强制使用) :
1、iss(Issuer): 签发人
2、sub(Subject): 主题
3、aud(Audience): 受众
4、exp(Expiration Time): 过期时间,这个过期时间必须要大于签发时间
5、nbf(Not Before): 生效时间
6、iat(Issued At): 签发时间
7、jti(JWT ID) : JWT 的唯一身份标识,主要用来作为一次性 token,从而回避重放攻击。

公共的声明:
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。

私有的声明:
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 base64 是对称解密的,意味着该部分信息可以归类为明文信息。

我们使用 base64 解析一下 eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9 就可以得到 之前定义的一个 payload:

{
   
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

2.4签名(Signature)

JWT 的第三部分是一个签证信息,这个签证信息由三部分组成:
1、header (base64 后的)
2、payload (base64 后的)
3、secret

最低0.47元/天 解锁文章
不想秃头的晨晨
关注
chatgpt赋能pythonPython认证指南:知道你需要什么样的认证
vacvefito的博客
06-17 254
Python认证是一种荣誉证书,证明个人或组织在Python编程方面具有一定的技能和知识。Python认证通常由Python软件基金会,或其他权威机构颁发,类似于其他技术认证,如Oracle Java认证或微软MCSD认证Python认证通常测试个人在Python编程语言知识,面向对象编程(OOP),数据类型,网络编程和其他相关领域的技能。Python认证证书可以作为评估个人能力的标准,并提供一些优势,用于在工作场所中推销个人的技能。
MySQL数据库基础详解
编程知识分享
05-18 1223
文章大纲 一、数据库简介 二、Mysql数据库简介 三、Mysql安装与服务启动(Windows版本) 四、Mysql图形化工具 五、Mysql存储引擎精讲 六、Mysql数据类型介绍 七、Mysql主要专业名称介绍 八、Mysql常见sql语句 九、Mysql设计与语句优化 十、事务介绍 十一、Mysql数据库备份与恢复 十二、Mysql分库分表 十三、Mysql权限管理 十四、Mysql数据...
python API的安全认证
weixin_33841503的博客
07-26 171
我们根据pid加客户端的时间戳进行加密md5(pid|时间戳)得到的单向加密串,与时间戳,或者其它字段的串的url给服务端。 服务端接收到请求的url进行分析 客户端时间与服务端的时间戳之差如果大于规定的时间比如我们规定10s,这样就是属于过期时间。防止有人黑了url,再次请求 可以用redis 如果上面的时间符合,再判断列表内是否存在url,如果存在则return,这样防止有人短时...
FastAPI JWT 项目教程
最新发布
gitblog_00151的博客
09-02 299
FastAPI JWT 项目教程 fastapi-jwtFastAPI native extension, easy and simple JWT auth项目地址:https://gitcode.com/gh_mirrors/fas/fastapi-jwt 1. 项目的目录结构及介绍 fastapi-jwt/ ├── app/ │ ├── __init__.py │ ├── main....
python 认证系统
Skander820的博客
05-17 660
新建用户 user = User.objects.create_user(username, email, password) user.save() # 不存储用户密码明文而是存储一个Hash值 登录验证 from django.contrib.auth import authenticate user = authenticate(username=username, pass...
python 基本认证
weixin_30757793的博客
12-09 292
# import requests # # response = requests.get('http://127.0.0.1:8080/manager/html', auth=('tomcat', 'tomcat')) # print(response.content.decode()) import base64 import re import urllib.request from url...
python HTTP 摘要认证
loverson的博客
12-29 1261
import sys import hashlib import ssl # 测试使用,获取输入参数 def getURLall(url, format, token, data): if format == '' or token == '' or data == '': print "need format toke...
网络安全资料汇总!
weixin_46159811的博客
01-07 3936
1.网络安全资料汇总 web security: 《http权威指南》【图灵出品】   深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。 《javascript权威指南》   淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。 《xs...
基于session的验证方式和Token验证方式的区别,以及JWT的具体实现流程
qq_40971025的博客
07-29 543
1、传统的cookie认证过程 长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是有状态的(statefull),也就是服务端和客户端都需要保存生成的session,也就是说在服务端需要在数据库中追踪session是否alive,客户端要把session写入cookie中。基本过程如下: 客户端登陆,一般输入用户名和密码 服务端如
面试技巧 面试复盘 编程技术 架构 看这一篇就够了
china19931017的博客
11-25 2307
神经网路与深度学习 Kubernetes实战 大型网站性能监测、分析与优化 Flume日志收集与MapReduce模式 ZooKeeper:分布式过程协同技术详解 自己动手写Java虚拟机 Java WebSocket编程 开发、部署和保护动态Web应用 SpringBoot揭秘:快速构建微服务体系 Web全栈工程师的自我修养 Apache Spark源码剖析 Wireshark数据包分析实战详解 深入剖析Tomcat-网上版本不够清晰 故重做 Kafka技术内幕 图文详解Kafka
Python技术应用工程师认证
Python单行客的博客
03-06 2274
Python技术应用工程师认证
python认证考试吗_python 基本认证
weixin_39864101的博客
12-05 377
# import requests## response = requests.get('http://127.0.0.1:8080/manager/html', auth=('tomcat', 'tomcat'))# print(response.content.decode())import base64import reimport urllib.requestfrom urllib.err...
python的证书有哪些,python应用认证证书
2301_81900386的博客
03-02 3509
大家好,给大家分享一下python的证书有哪些,很多人还不知道这一点。下面详细解释一下。现在让我们来看看!
python可以考的资格认证有哪些?
分享Python知识
02-17 3183
python可以考的资格认证有哪些
python编程等级证书,python证书含金量_python的证书有哪些
tingting11232的博客
02-20 5971
python编程等级证书,python证书含金量_python的证书有哪些
「科普」python有什么证书
隔壁王叔的博客
03-03 1346
「科普」python有什么证书
Python编程:Django之安全验证
彭世瑜的博客
03-17 2098
涉及内容 装饰器 cookie session form验证 缓存 中间件 信号 csrf 分页 一、装饰器 鉴权装饰器函数 def auth(func): # 用户验证的装饰器 def inner(request, *args, **kwargs): u = request.COOKIES.get("username"...
python http认证
weixin_34008933的博客
10-26 202
Requests 库有一个auth 模块专门用来处理HTTP 认证: import requestsfrom requests.auth import AuthBasefrom requests.auth import HTTPBasicAuth auth = HTTPBasicAuth('ryan', 'password')r = requests.post(url="http://pyth...
Python常用库Top15:os到urllib,详解与实战
本文主要介绍了Python中最常用的库,这些库在GitHub上5000多个开源项目中被广泛采用,包括os、os.path、glob、sys、re、logging、subprocess、time、datetime、urllib、random、telnetlib、paramiko、pexpect、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值