60 - restful接口案例(新闻)-08-用户认证权限

最新推荐文章于 2024-09-02 07:05:33 发布
最新推荐文章于 2024-09-02 07:05:33 发布
阅读量81 收藏
点赞数
分类专栏: Flask 文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58250910/article/details/132688033
版权

用户认证权限:

        在OAuth协议中,token是在输入了用户名和密码之后获取的,
        利用这个token你可以拥有查看或者操作相应的资源的权限。
        你有这些权限,是因为服务器知道你是谁 (authentication) 以后赋予你的,
        所以token这个东西,其实就是你的一个“代表”,或者说完全能代表你的“通行证”

 

1. apps \ apis \ user_api.py 登陆成功后返回给前端token

# 账号密码登录
class UserApi(Resource):
    def post(self):
        args = password_login_parser.parse_args()
        mobile = args.get("mobile")
        password = args.get("password")
        # 判断用户
        user = User.query.filter(User.phone == mobile).first()
        if user:
            if check_password_hash(user.password, password):
                # 说明这个用户是登陆成功的

                # 设置token
                token = str(uuid.uuid4()).replace("-", "") + str(random.randint(100, 999))
                print(token)
                # 存储用户的登录信息
                session[token] = mobile
                
                return {"status": 200, "msg": "用户登录成功", "token": token}


        return {"status": 400, "msg": "用户名或密码有误"}

2.  apps \ apis \ user_api.py 定义权限认证装饰器

from flask_restful import abort

# 验证前端传来的请求头中是否包含token
def check_user():

    # 前端请求时需要添加请求头Authorization
    auth = request.headers.get('Authorization') 
    if not auth:
        abort(401, msg="请先登录")
    mobile = session.get(auth)
    if not mobile:
        abort(401, msg="无效令牌")
    user = User.query.filter(User.phone == mobile).first()
    if not user:
        abort(401, msg="此用户已被管理员删除")
    g.user = user



# 登录验证装饰器
def login_required(func):
    def wrapper(*args, **kwargs):
        check_user()  # 先执行查看有没有token
        return func(*args, **kwargs)  # 后执行api
 
    return wrapper

3. apps \ apis \ news_api.py  api使用认证权限

        (1). 定义返回格式 和 参数校验
# 回复-返回格式
reply_fields = {
    'user': AuthorName(attribute="user"),  # 调用自定义输出,对象类.username
    'content': fields.String,
    "datetime": fields.DateTime(attribute="date_time"),
    "lovenum": fields.Integer(attribute="love_num"),
}
 
# 评论-返回格式
comment_fields = {
    'user': AuthorName(attribute="user"),
    'content': fields.String,
    "datetime": fields.DateTime(attribute="date_time"),
    "lovenum": fields.Integer(attribute="love_num"),
    "reply": fields.List(fields.Nested(reply_fields))  # 回复信息
}
 
# 详情-返回格式
news_detail_fields = {
    "id": fields.Integer,
    "title": fields.String,
    "content": fields.String,
    "datetime": fields.DateTime(attribute="date_time"),
    "author": AuthorName(attribute="author"),
    # fields.Nested:套件; comment_fields:评论的格式
    "comments": fields.List(fields.Nested(comment_fields))  # 评论信息
}
 
# 定义新闻添加 参数校验
add_news_parser = reqparse.RequestParser()
add_news_parser.add_argument("title", type=str, required=True, help="必须填写新闻标题",location='form')
add_news_parser.add_argument("content", type=str, required=True, help="必须填写新闻主题内容",location='form')
add_news_parser.add_argument("typeid", type=int, required=True, help="必须填写新闻类型id",location='form')
        (2). 定义api
# 新闻的添加
class NewsApi(Resource):
    @login_required  # 登录权限认证装饰器
    def post(self):
        args = add_news_parser.parse_args()
        title = args.get("title")
        content = args.get("content")
        typeid = args.get("typeid")
        # 数据库添加
        news = News()
        news.title = title
        news.content = content
        news.desc = content[10] + "..."
        news.news_type_id = typeid
        news.user_id = g.user.id
        db.session.add(news)
        db.session.commit()
        data={
            "status":200,
            "msg":"新闻发布成功",
            "news":marshal(news,news_detail_fields)
        }
        return data
        (3). 绑定路由
api.add_resource(NewsApi, '/news')

一个微不足道的bug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Express】应用案例(一) - RESTful接口设计规范
YK菌的博客
06-27 434
RESTful接口设计规范
spring-restful-authorization:这个 Demo 用于演示如何在 RESTful 下使用自定义 Token 保持客户端登录状态,依靠 Spring 的拦截器和解析器完成权限验证及登录用户注入,并使用 Redis 存储 Token
04-28
###简介 关于Demo的介绍可以参考 ###演示方式 下载该项目并修改application.properties文件,将MySQL和Redis的信息修改为自己的配置 打开init.sql文件,将其中的sql语句在MySQL中运行 通过mvn spring-boot:run启动项目,如果日志输出Started Application in 8.112 seconds (JVM running for 14.491)说明启动成功 浏览器打开localhost:8080,可以看到swagger-ui的主页 演示登录:在该页面打开POST tokens/,在username项输入admin、password项输入password,点击Try it out!,查看返回结果得到userId和token 演示退出登录:在该页面打开DELETE tokens/,在authorization中填写用us
apache环境下解决restful认证无法从header中获取Authorization参数 [ 技术分享 ]
vbird的博客
10-18 1万+
  rest接口采用HttpBearerAuth认证方式: public function behaviors() { return ArrayHelper::merge( parent::behaviors(), [ 'authenticator' => [ 'class' => HttpBearerAuth::c...
Django项目,RESTful接口验证失败,请求头中的Authorization信息丢失的处理方法
南来北往技术小栈
08-22 2374
Apache部署Django项目时,请求头中的Authorization信息丢失 问题原因 由于用户认证一直失败,通过输出请求头信息(request.META),发现请求到达Django的时候,Headers里面已经不包含Authorization参数了。那么一定是在传输中被丢弃了,于是查了一下,发现是Apache的原因。 请求到达Apache的时候,请求头里面的Authorization直接被...
了解 RESTful API 鉴权与认证机制
程序员光剑
12-29 522
1.背景介绍 RESTful API 鉴权与认证机制是一项重要的网络安全技术,它在互联网中的应用非常广泛。鉴权与认证机制的主要目的是确保 API 只能被授权的用户访问,从而保护数据和系统资源的安全。在这篇文章中,我们将深入探讨 RESTful API 鉴权与认证机制的核心概念、算法原理、具体操作步骤以及数学模型公式。同时,我们还将通过具体代码实例来详细解释这些概念和操作。 2.核心概念与联系 ...
Restful安全认证权限的一种解决方案
浪子恒心
06-10 1043
一、Restful安全认证常用方式 1.Session+Cookie 传统的Web认证方式。需要解决会话共享及跨域请求的问题。 2.JWT JSON Web Token。 3.OAuth 支持两方和三方认证,是目前使用比较广泛的安全认证方式,但对于不使用第三方登录的认证的方式不太适用。 二、JWT简介 JWT由三部分组成,包括Header、Payload和Signature。 ...
boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证
05-14
【标题】"boot_shiro_jwt:springboot+shiro+redis+jwt 基于Restful接口用户权限认证" 涉及的核心技术是将Spring Boot、Apache Shiro、Redis和JSON Web Tokens(JWT)结合,以实现一个现代化的、安全的RESTful API...
基于tp5的restfulapi风格接口oauth20接口版本管理
08-07
综上所述,这个项目涉及了使用ThinkPHP5框架实现RESTful API接口,结合OAuth2.0进行安全授权,以及接口版本管理的最佳实践,对于想要学习和实践PHP Web服务开发的人员来说,是一个有价值的参考案例。通过深入理解...
shiro-uaa轻量级用户账号和身份认证服务 v1.0.7.zip
03-27
在v1.0.7版本中,它提供了一套完整的用户管理与权限控制机制,旨在简化开发者在处理用户认证和授权过程中的工作。 Apache Shiro是一个强大且易用的Java安全框架,它涵盖了身份认证、授权、加密以及会话管理等多个...
Python代码源码-实操案例-框架案例-智慧校园考试系统.zip
02-22
5. **用户认证与授权**:对于校园考试系统,用户身份验证和权限管理至关重要。系统可能包含了登录、注册、角色权限分配等机制,这通常涉及到cookie、session和JWT等技术。 6. **表单处理**:考试报名、提交答案等...
理解OAuth 2.0
05-13 1907
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12日 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
restful接口权限控制及其灵活授权
csdn_meng的博客
06-14 2万+
- 由于restful风格接口路径中带有变量,使得权限控制成为一大难题,官方的各种权限框架比较复杂,一时间可能难以用的得心应手,给一些中小型项目转前后端分离带来一定的难度。 - 日常业务中,权限一般都需要能动态配置,本篇博客采用RBAC设计原则对系统的的权限进行设计。 - 核心思想是控制controller中方法的访问权限,将【类名】.【方法名】映射为一个资源,对该资源进行动态授权。 - 授...
RESTful登录(基于token鉴权)的设计实例
lucasma的博客
04-06 6万+
使用场景 现在很多基于restful的api接口都有个登录的设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西。申请成功后,后面其他的支付请求都要带上这个token,服务端通过这个token验证请求的合法性。这个token通常都有一个有效期,一般就是几个小时。 比如我之前接入过一个支付宝和微信支付的通道,他们提供的api就要求先登录获取token然后才能使用...
Httpclient 请求带Authorization(授权)的REST API 返回JSON数据
XENIA1992的博客
06-06 2万+
import net.sf.json.JSONArray; import net.sf.json.JSONObject; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.StatusLine; import org.apache.http.client.Cl
RESTful登录设计(基于Spring及Redis的Token鉴权)
AndyLizh的专栏
06-08 7万+
什么是REST REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状
使用 JWT 让你的 RESTful API 更安全
倔强的蜗牛
08-29 5万+
传统的 cookie-session 机制可以保证的接口安全,在没有通过认证的情况下会跳转至登入界面或者调用失败。 在如今 RESTful 化的 API 接口下,cookie-session 已经不能很好发挥其余热保护好你的 API 。 更多的形式下采用的基于 Token 的验证机制,JWT 本质的也是一种 Token,但是其中又有些许不同。 什么是 JWT ? JWT 及时 JSON W
4种认证(authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
RESTful Api 身份认证总结
渴望飞翔的猪
11-07 2454
RESTful API是基于HTTP协议的API(Application Programming Interface),它的核心是将所有的API都理解为一个网络资源,客户端请求资源时操作的是资源的表述而不是资源本身,每条请求都应包含足够的信息来让服务器知道如何处理该消息,即将所有的客户端和服务器的状态转移封装到HTTP请求的Method之中,它拥有Url唯一资源对应的特性。 由于RESTful A...
Flask中实现上下文管理
最新发布
sheji888的专栏
09-02 630
Flask中,上下文管理是通过Flask框架内部机制自动管理的,但你也可以通过Flask提供的API来显式地操作上下文。Flask使用和这两个本地栈(local stacks)来分别管理请求上下文和应用上下文的入栈(push)和出栈(pop)操作。
用户管理微服务:领域模型与RESTAPI设计
此外,系统提供RESTful API接口,以标准的HTTP方法(如GET、POST、PUT、DELETE)与用户注册服务进行交互,确保了接口的统一性和易用性。最后,系统采用模块化设计,适应不同部署环境,如Google App Engine兼容的WAR...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值