FLASK中的鉴权的插件Flask-HTTPAuth

最新推荐文章于 2024-05-31 16:01:18 发布
最新推荐文章于 2024-05-31 16:01:18 发布
阅读量700 收藏
点赞数
分类专栏: python 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javascript_good/article/details/132955933
版权

在 Web 应用中,我们经常需要保护我们的 api,以避免非法访问。比如,只允许登录成功的用户发表评论等。Flask-HTTPAuth 扩展可以很好地对 HTTP 的请求进行认证,不依赖于 Cookie 和 Session。本文主要介绍两种认证的方式:基于密码和基于令牌 (token)。

1、安装

$ pip install Flask-HTTPAuth

2、基于密码的认证

为了简化代码,这里我们就不引入数据库了。

  • 首先,创建扩展对象实例
from flask import Flask
from flask_httpauth import HTTPBasicAuth
app = Flask(__name__)
auth = HTTPBasicAuth()

这里有一点需要注意的是,我们创建了一个 auth 对象,但没有传入 app 对象,这跟其他扩展初始化实例有一点区别。

  • 接着,写一个验证用户密码的回调函数
from werkzeug.security import generate_password_hash, check_password_hash
# 模拟数据库
books = ['The Name of the Rose', 'The Historian', 'Rebecca']
users = [
    {'username': 'ethan', 'password': generate_password_hash('6666')},
    {'username': 'peter', 'password': generate_password_hash('4567')}
]
# 回调函数
@auth.verify_password
def verify_password(username, password):
    user = filter(lambda user: user['username'] == username, users)
    if user and check_password_hash(user[0]['password'], password):
        g.user = username
        return True
    return False

上面,为了对密码进行加密以及认证,我们使用 werkzeug.security 包提供的 generate_password_hash 和 check_password_hash 方法:generate_password_hash 会对给定的字符串,生成其加盐的哈希值;check_password_hash 验证传入的明文字符串与哈希值是否一致。

  • 然后,我们在需要认证的视图函数上,加上 @auth.login_required 装饰器,比如
@app.route('/', methods=['POST'])
@auth.login_required
def add_book():
    _form = request.form
    title = _form["title"]
    if not title:
        return '<h1>invalid request</h1>'
    books.append(title)
    flash("add book successfully!")
    return redirect(url_for('index'))

上面完整的代码如下:

$ cat app.py
# -*- coding: utf-8 -*-
from flask import Flask, url_for, render_template, request, flash, \
    redirect, make_response, jsonify, g
from werkzeug.security import generate_password_hash, check_password_hash
from flask_httpauth import HTTPBasicAuth
app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret key'
auth = HTTPBasicAuth()
# 模拟数据库
books = ['The Name of the Rose', 'The Historian', 'Rebecca']
users = [
    {'username': 'ethan', 'password': generate_password_hash('6666')},
    {'username': 'peter', 'password': generate_password_hash('4567')}
]
# 回调函数
@auth.verify_password
def verify_password(username, password):
    user = filter(lambda user: user['username'] == username, users)
    if user and check_password_hash(user[0]['password'], password):
        g.user = username
        return True
    return False
# 不需认证,可直接访问
@app.route('/', methods=['GET'])
def index():
    return render_template(
        'book.html',
        books=books
    )
# 需要认证
@app.route('/', methods=['POST'])
@auth.login_required
def add_book():
    _form = request.form
    title = _form["title"]
    if not title:
        return '<h1>invalid request</h1>'
    books.append(title)
    flash("add book successfully!")
    return redirect(url_for('index'))
@auth.error_handler
def unauthorized():
    return make_response(jsonify({'error': 'Unauthorized access'}), 401)
if __name__ == '__main__':
    app.run(host='127.0.0.1', port=5206, debug=True)

$ cat templates/layout.html
<!doctype html>
<title>Hello Sample</title>
<div class="page">
    {% block body %} {% endblock %}
</div>
{% for message in get_flashed_messages() %}
    {{ message }}
{% endfor %}

$ cat templates/book.html
{% extends "layout.html" %}
{% block body %}
{% if books %}
    {% for book in books %}
        <ul>
            <li> {{ book }} </li>
        </ul>
    {% endfor %}
{% else %}
    <p> The book doesn't exists! </p>
{% endif %}
<form method="post" action="{{ url_for('add_book') }}">
    <input id="title" name="title" placeholder="add book" type="text">
    <button type="submit">Submit</button>
</form>
{% endblock %}

3、基于 token 的认证

很多时候,我们并不直接通过密码做认证,比如当我们把 api 开放给第三方的时候,我们不可能给它们提供密码,而是对它们进行授权,还可能会有时间限制,比如半年或一年等。这时候,我们往往通过一个令牌,也就是 token 来做认证,Flask-HTTPAuth 提供了 HTTPTokenAuth 对象来做这件事。
例如:

from flask import Flask, g
from flask_httpauth import HTTPTokenAuth
app = Flask(__name__)
auth = HTTPTokenAuth(scheme='Token')
tokens = {
    "secret-token-1": "john",
    "secret-token-2": "susan"
}
# 回调函数,验证 token 是否合法
@auth.verify_token
def verify_token(token):
    if token in tokens:
        g.current_user = tokens[token]
        return True
    return False
# 需要认证
@app.route('/')
@auth.login_required
def index():
    return "Hello, %s!" % g.current_user
if __name__ == '__main__':
    app.run()

上面,我们在初始化 HTTPTokenAuth 对象时,传入了 scheme=‘Token’。这个 scheme,是我们在发送请求时,在 HTTP 头 Authorization 中要用的 scheme 字段。用 curl 测试如下:

$ curl -X GET -H "Authorization: Token secret-token-1" http://localhost:5000/

结果:

Hello, john!

4、使用 itsdangerous 库来管理令牌

上面的令牌还是比较薄弱的,在实际使用中,我们需要使用加密的签名(Signature)作为令牌,它能够根据用户信息生成相关的签名,并且很难被篡改。itsdangerous 提供了上述功能,在使用之前请使用 pip 安装: $ pip install itsdangerous。

改进后的代码如下:

# -*- coding: utf-8 -*-
from flask import Flask, g
from flask_httpauth import HTTPTokenAuth
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret key here'
auth = HTTPTokenAuth(scheme='Token')
# 实例化一个签名序列化对象 serializer,有效期 10 分钟
serializer = Serializer(app.config['SECRET_KEY'], expires_in=600)
users = ['john', 'susan']
# 生成 token
for user in users:
    token = serializer.dumps({'username': user})
    print('Token for {}: {}\n'.format(user, token))
# 回调函数,对 token 进行验证
@auth.verify_token
def verify_token(token):
    g.user = None
    try:
        data = serializer.loads(token)
    except:
        return False
    if 'username' in data:
        g.user = data['username']
        return True
    return False
# 对视图进行认证
@app.route('/')
@auth.login_required
def index():
    return "Hello, %s!" % g.user
if __name__ == '__main__':
    app.run()

将上面代码保存为 app.py,在终端运行,可看到类似如下的输出:

$ python app.py
Token for John: eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ3NjY5NzE0NCwiaWF0IjoxNDc2Njk1MzQ0fQ.eyJ1c2VybmFtZSI6IkpvaG4ifQ.vQu0z0Pos2Tgt5jBYMY5IYWUkTK9k3wE_RqvYHDqtyM
Token for Susan: eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ3NjY5NzE0NCwiaWF0IjoxNDc2Njk1MzQ0fQ.eyJ1c2VybmFtZSI6IlN1c2FuIn0.rk8JaTRwag0qiF9_KuRodhw6wx2ZWkOEhFln9hzOLP0
 * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)

使用 curl 测试如下:

$ curl -X GET -H "Authorization: Token eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ3NjY5NzE0NCwiaWF0IjoxNDc2Njk1MzQ0fQ.eyJ1c2VybmFtZSI6IkpvaG4ifQ.vQu0z0Pos2Tgt5jBYMY5IYWUkTK9k3wE_RqvYHDqtyM" http://localhost:5000/
# 结果
$ Hello, john!
javascript_good
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【自动化运维新手村】Flask-限校验
weixin_40489165的博客
02-20 2089
上一章节,我们主要对Web应用的用户认证做了详细的讲解,包括使用Flask实现用户注册,登录,并通过Session机制实现用户保持登录。那么在了解了用户认证之后,这一章节我们就着重介绍一下限校验的原理以及实现方式。
python token flask_Flaskflask_httpauth(HTTPTokenAuth)
weixin_32771631的博客
02-03 675
写一个简单的FlaskAPI,Token验证下载flask-httpauth包,itsdangerous包后者是用来生成临时身份令牌,检验token的pip install flask-httpauthpip install itsdangerousmodel.py文件:(在model文件user类下添加生成token方法)# 生成token@staticmethoddef generate_a...
flask服务
xkx_07_10的博客
09-22 985
你可以编写自己的装饰器函数来实现逻辑。# 用户认证函数,根据用户名和密码验证用户# 实际应用,这里应该根据用户名和密码进行验证# 自定义装饰器函数,用于@wraps(f)app.run()
flask的基本使用 token件(二)
借风拥你
02-04 793
create_access_token 函数用来生成实际的 JWT token。
python 使用flask_httpauth和pyjwt实现登录限控制
Damien_J_Scott的博客
04-26 819
这样的话,只需要引入之前定义的auth_provider,然后在需要登录之后才能访问的api上加入@auth_provider.login_required,当然auth_provider这个变量名是自己取的,你怎么定义的就用什么就行了。这样的话访问该api的时候就会自动去拿jwt验证。登录的方法可以看到,验证密码之后就会生成jwt返回 ,前端接到这个jwt之后,就会放在之后的请求内。jwt过期时间你可以根据需求自己定义。最近需要用到,学习了一下记录。实现验证token的方法,生成密码的方式在这里。
falsk token
时越的博客
11-14 324
from flask import Flask, g from flask_httpauth import HTTPTokenAuth app = Flask(__name__) # auth = HTTPTokenAuth(scheme='Bearer',header='token') auth = HTTPTokenAuth(header='token') tokens = { "secret-token-1": "John", "secret-token-2": "Susan" }
Flask-HTTPAuth:简单的扩展,为Flask路由提供基本,摘要和令牌HTTP身份验证
02-05
Flask-HTTPAuth 简单扩展,为Flask路由提供基本和摘要HTTP身份验证。 安装 安装它的最简单方法是通过pip。 pip install Flask-HTTPAuth 基本身份验证示例 from flask import Flask from flask_httpauth import ...
flask-basicauth:Flask的HTTP基本访问身份验证
05-22
Flask-BasicAuth Flask-BasicAuth是Flask扩展,它提供了一种简单的方法,可以使用HTTP保护某些视图或整个应用程序。 链接
flask-rebar-auth0:Auth0的Flask-Rebar身份验证器
05-24
Flask-Rebar-Auth0 简单身份验证。 您的访问令牌必须是,此身份验证器才能工作。 初始化 # Config app . config . from_mapping ({ "AUTH0_ENDPOINT" : "perdu.auth0.com" , # The Auth0 domain for your tenant ...
flask-auth-demo:带身份验证的Flask应用程序的非常基本的演示
04-16
Flask Auth演示 这是一个简单的演示,用于显示和解释非常基本的烧瓶会话身份验证设置。 :card_index_dividers: 项目概况 该项目旨在演示Flask的非常基本的身份验证和授。 app.py :这是主项目文件,包含应用程序的整个逻辑和最相关的代码。 requirements.txt :所有已安装软件包及其版本的列表 templates / :所有视图。 _base.html是所有页面的主要布局。 static / :包含静态资产。 到目前为止,它是一个CSS文件,具有一些基本的规范化样式。 :rocket: 入门 :desktop_computer: 设置项目环境 首先,请确保已安装Python 3。 然后设置并激活您的虚拟环境: 安装虚拟环境以仅在项目环境安装Python软件包: pip3 install virtualenv 创建一个环境文件夹: virtualenv env 激活环境: source env/bin/activ
flask-authz:在Flask使用Casbin,Casbin是功能强大且高效的开源访问控制库
02-05
flask-authz是的授间件,它基于 。 安装 pip install flask-authz 或克隆仓库: $ git clone https://github.com/pycasbin/flask-authz.git $ python setup.py install 模块用法: from flask import Flask ...
dash-flask-login:一个集成Dash和Flask-Login的
02-05
Dash与Flask-Login的集成 介绍 Dash-Flask-Login是一种 ,可与流行的集成以进行用户会话管理。 Dash-Admin旨在即即用! 提供用户身份验证应该很简单: 身份验证= FlaskLoginAuth(dash_app) 文献资料 目前,请...
Flask Basic Auth的实现
weixin_34198453的博客
03-07 409
Flask Basic Auth 本文首发于Gevin的博客 原文链接:Flask Basic Auth的实现 未经 Gevin 授,禁止转载 RESTful API开发,Authentication(认证)机制的实现通常『非常必要』。Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,Basic Auth 常用于开发和测试阶段,Flask 作...
python HTTPBasicAuth和flask_login验证的区别
cxk1198的博客
04-11 6434
最近写了一个Flask-Restful框架的项目,原本用的是HTTPBasic模块的验证,后来发现这种验证框架应用在前端特别难写,于是采用了flask_loginHTTPBasic应用框架如下auth = HTTPBasicAuth()@auth.verify_password def verify_password(username_or_token, password): if user
Python flask之token相关知识及HTTPBasicAuth的使用
Null的博客
02-14 5909
目录 1、网站的用户登录流程: 2、API的用户流程: 3、token令牌的三个基本特征 4、代码实现 5、令牌的使用思路 6、编写验证token的装饰器 7、使用HTTPBasicAuth的方式发送账号密码 8、通过HTTPBasicAuth的方式发送token 9、验证token 验证token是否合法: 验证令牌是否过期: 读取令牌信息: 10、关于8和9的代码总览...
Flask 项目用到的件和技术
热门推荐
我编故我在
03-31 1万+
项目地址: https://github.com/laoqiu/pypress 作者:老秋 老秋是05年开始从事前端设计的设计师,于07年喜欢上python,目前从事python项目开发,学习并使用过一些流行框架,如django,webpy,flask,turbogears。 地区:杭州 Gtalk: alawn84@gmail.com 网站: http://www.l
flask通用rbac限框架
Pythonner
05-18 1万+
首先是数据库表设计models.py from . import db import datetime # 用户表 class Users(db.Model): __tablename__ = 'users' id = db.Column(db.Integer, primary_key=True) name = db.Column(db.String(32), in...
【Python实战】使用postman测试flask api接口
最新发布
a272329874a的博客
05-31 437
postman执行接口。执行Python文件。
创建Flask-HTTPAuth
03-04
创建 Flask-HTTPAuth 是为了在 Flask 应用程序实现基于 HTTP 的身份验证。它提供了一种简单的方式来保护您的应用程序的特定部分,只允许授用户访问。您可以使用 Flask-HTTPAuth 来实现基本身份验证、令牌身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

javascript_good

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值