flask中使用refresh token来刷新access token(前后端分离)

最新推荐文章于 2024-04-28 20:51:35 发布
最新推荐文章于 2024-04-28 20:51:35 发布
阅读量1.2k 收藏 6
点赞数
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61143764/article/details/125961870
版权

文章目录

需要会的东西

  1. JWT
  2. token的认证方式
  3. hook
  4. g对象

认证机制

我试着描述一下

常规的token认证

前端每次向后端发送请求,在请求头里面写入access token,后端进行认证,非必须登录的操作都可以正常进行,而必须登录的资源都会返回login required
缺点:因为access token权限高,会频繁使用,相对不安全。设置过期时间太长了,被盗取后容易出问题,但是设置过期时间太短了,用户就需要频繁登录,来获取到access token

access token + refresh token

access token的操作跟上述一致,但是明确了,access token的过期时间:,但是没有很短,如果很短就需要一直刷新,refresh token就会频繁发送,这是不可以的。
时效短带来的不好的用户体验怎么来解决呢?这时候就需要refresh token来刷新access token了

前端 后端 发送请求 验证access token data login require refresh 发送refresh token 验证refresh token 分配新的access token refresh token is wrong alt [验证成功] [验证失败] alt [验证成功] [验证失败] [access token过期] loop [每次请求] 前端 后端

实际操作

生成+验证

具体操作跟上一篇博客基本一致
这里直接上代码了

def create_token(user, refresh_token=False):
    headers = {
        "alg": "HS256",
        "typ": "JWT",
    }
    exp = int(time.time() + 600) if refresh_token is False else int(time.time() + 3600 * 24 * 14)
    payload = {
        "name": user.username,
        "user_id": user.user_id,
        "exp": exp,
        "iss": 'byszqq'
    }
    key = current_app.config.get('JWT_SECRET_KEY')
    if refresh_token is True:
        u = UserModel.query.filter(UserModel.user_id == user.user_id).first()
        refresh_key = rand_str(6)
        u.refresh_key = refresh_key
        payload['refresh_key'] = refresh_key
        db.session.commit()
    token = jwt.encode(payload=payload, key=key, algorithm='HS256', headers=headers)
    return token


def validate_token(token, refresh_token=False):
    payload = None
    msg = None
    key = current_app.config.get('JWT_SECRET_KEY')
    try:
        payload = jwt.decode(jwt=token, key=key, algorithms=['HS256'], issuer='byszqq')
        if refresh_token is True:
            user = UserModel.query.filter(UserModel.user_id == payload.get('user_id')).first()
            if user.refresh_key != payload.get('refresh_key'):
                msg = 'refresh key 错误'
        else:
            if payload.get('refresh_key') is not None:
                msg = '禁止用refresh token'
    except exceptions.ExpiredSignatureError:
        msg = 'token已失效'
    except jwt.DecodeError:
        msg = 'token认证失败'
    except jwt.InvalidTokenError:
        msg = '非法的token'
    return payload, msg

在hook中的操作

在接受请求,进入视图函数前,对请求头中的Authorization中的access token进行认证,如果通过认证,给g对象绑定user对象,如果是时效,g.refresh = True。
在经过视图函数后,进行两个判断,如果是access token过期了,在Authorization中放入refresh字符串,告诉前端,需要访问刷新token的接口。如果g对象有user对象,在Authorization中放入新的access token,并且如果是刚登录的用户,再添加refresh token在请求头中。
注意一个东西,在before_request中的g.user = user

@app.before_request
def before_request():
    token, msg = validate_token(request.headers.get('Authorization'))
    if msg is None:
        try:
            user = UserModel.query.filter(UserModel.user_id == token.get('user_id')).first()
            g.user = user
        except Exception as e:
            print(e)
    elif msg == 'token已失效':
        g.refresh = True


@app.after_request
def after_request(resp):
    if hasattr(g, 'refresh') and g.refresh is True:
        resp.headers['Authorization'] = 'refresh'
    if hasattr(g, 'user'):
        resp.headers['Authorization'] = create_token(g.user)
        if hasattr(g, 'login') and g.login is True:
            resp.headers['refresh-token'] = create_token(g.user, refresh_token=True)
    return resp

login

其他都不太重要,重要的是我们看到g.user = cur_user

class LoginAPI(MethodView):
    def post(self):
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            cur_user = UserModel.query.filter(UserModel.username == username).first()
        except SQLAlchemyError as e:
            Log.error(e)
            return jsonify({'code': 500, 'message': 'database error'})
        else:
            if cur_user is None:
                return jsonify({'code': 404, 'message': "there's no such user"})
            if check_password_hash(cur_user.password, password):
                g.user = cur_user
                g.login = True
                return jsonify({'code': 200, 'message': 'success', 'data': obj_to_dict(g.user)})
            else:
                return jsonify({'code': 403, 'message': 'your password is wrong'})

login require

简单来说,就是验证g对象中有没有user这个属性,而根据上面的login操作,还有hook里面的操作,会发现,只有当1. 登录过后,有g.user 2. access token通过验证后,有g.user

def login_required(func):
    @wraps(func)
    def wrapper(*args, **kwargs):
        if hasattr(g, 'user'):
            return func(*args, **kwargs)
        return jsonify({'code': 403, 'message': "login required"})
    return wrapper

refresh

这是一个接口,当前端受到的Authorization中是"refresh"是调用
将refresh_token传到后端,进行验证,通过了又是g.user = user,返回去看一看hook的after_request的描述,如果g对象有user对象,在Authorization中放入新的access token,所以就会发现,在经过了refresh这个接口后,如果refresh token正确,就会有g.user = user,然后就会有resp.headers['Authorization'] = create_token(g.user),这样就做到了根据refresh token 刷新access token的效果了

class RefreshAPI(MethodView):
    def post(self):
        refresh_token = request.form.get('refresh_token')
        token, msg = validate_token(refresh_token, refresh_token=True)
        if msg is None:
            try:
                user = UserModel.query.filter(UserModel.user_id == token.get('user_id')).first()
            except SQLAlchemyError as e:
                Log.error(e)
            else:
                g.user = user
            return jsonify({'code': 200, 'message': 'success'})
        else:
            return jsonify({'code': 403, 'message': 'please login again'})

结语

算是敲了一年的代码了,有啥问题请多多指教

gsxdcyy
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Flask-JWT重刷
黄雄进
12-10 1370
JWT重刷 access_token如果设为一直有效,无法防止用户盗用 access_token有过期时间,如果过期了,让用户重新登录有时候感受不太好 我们需要一个为已登录用户重新刷新access_token的机制 一种方式是将过期时间配置的长一点,配置JWT ACCESS TOKEN过期时间 (默认是15分钟) # JWT ACCESS TOKEN过期时间(单位秒) JWT_ACCESS_TOK...
详解Flask前后分离项目案例
09-16
主要介绍了Flask前后分离项目案例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python轻量级Web框架Flask(12)—— Flask类视图实现前后分离
最新发布
sz1125218970的博客
04-28 1192
在学习类视图之前要了解前后分离的概念,相对于之前的模板,前后分离的模板会去除views文件,添加两个新python文件apis和urls,其apis是用于传输数据和解析数据 的,urls是用于写模板路径的。1、前后分离Flask模板相对于前后分离的模板而言,少了views这个文件,它相当于把views这个文件的功能分配到了apis和urls这两个文件。apis主要写的是接口,urls主要写接口路由。
flask刷新token
aimiandai4698的博客
01-24 847
我们在做前后分离的项目,最常用的都是使用token认证。 登录后将用户信息,过期时间以及私钥一起加密生成token,但是比较头疼的就是token过期刷新的问题,因为用户在登录后,如果在使用过程,突然提示token过期了,需要重新登录,会觉得很奇怪。 我使用的方式,是在解析token的时候,如果token过期了,但是还在可刷新的时间范围内,我们应该自动刷新token,并将新的to...
Flask实现JWT认证-token-refresh_token
weixin_42289273的博客
05-17 1845
核心思想 解决单一token的安全问题,设置2个token一个对接业务,有需求就带着业务token去认证然后操作相关功能,有效期较短,2小时;另一个token专门用来刷新业务token,简称刷新token,具有较长的过期时间,14天; 当业务token过期时,必须携带刷新token通过put接口来实现token刷新,新的业务token还是存活2小时,这期间刷新token一直不变,直到14天后刷新token过期,重新开始新一轮的循环;在调用生成token的接口时,利用一个布尔型标识need_refresh
flask项目相关--refresh token
weixin_30553837的博客
08-26 258
刷新token实现流程 特点 访问令牌虽然使用频繁, 但是有效期短, 只有两个小时 刷新令牌有效期长, 但是访问次数少, 可以减少泄露的风险 登录接口 生成令牌 访问控制 对于所有的接口都需要获取认证信息 使用请求钩子实现 对于指定的接口进行访问控制 使用装饰器 请求钩子和装饰器 刷新令牌 接口设计 # 刷新令牌接口 /v1_0/authorization...
Flask Token使用
aaaaaaaaaww12的博客
10-28 2095
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 一、Token是什么? 在计算机身份认证是令牌(临时),在我的认知里面,token类似于打开后的钥匙,在你登录之后,后给你一串钥匙,你可以根据这串钥匙访问后一些上锁的地方,如果没上锁,就是公共访问区域,没有token也能访问,有些地方上锁了你没钥匙,就是你的token里没有给你相对应的权限钥匙。 二、使用
access_token验证过期类
11-29
2. **刷新令牌**:如果`access_token`未过期但接近到期,应用可以使用刷新令牌(`refresh_token`)来获取新的`access_token`。刷新令牌通常具有较长的有效期,允许在不重新授权用户的情况下获取新令牌。 3. **重新...
vue下axios拦截器token刷新机制的实例代码
10-15
接下来,`refreshToken`函数是核心,它负责向服务器发送刷新令牌的请求,并更新本地存储的token。如果刷新失败,用户将被重定向到登录页面。 ```javascript // 刷新token function refreshToken(config, token, ...
Python库 | Flask-JWT-Extended-2.0.0.tar.gz
03-07
然后,通过`create_access_token()`和`create_refresh_token()`方法生成访问和刷新令牌。接着,可以使用`decode_jwt_from_request()`来解码请求的JWT,进行身份验证。 在实际应用Flask-JWT-Extended可以轻松...
OAuth2 in Python.zip
10-25
- `Flask-OAuthlib`:如果你正在构建一个 Web 服务,可以使用这个库来实现 OAuth2 服务器。它提供了一套完整的工具集,包括客户和服务器的支持。 4. OAuth2 的安全考虑: - 客户秘密应妥善保管,不要在...
flask 实现token机制的示例代码
09-18
主要介绍了flask 实现token机制的示例代码,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
auth-server-sample:用于了解OAuth2和构建自己的基本授权服务器的示例初学者指南
05-16
3. **令牌交换**:客户使用授权码向授权服务器请求访问令牌(Access Token)和刷新令牌(Refresh Token)。 4. **令牌验证**:授权服务器验证客户的身份和授权码的有效性,然后颁发令牌。 5. **资源访问**:...
flask通过验证微信access_token
weixin_30293135的博客
09-04 433
https://www.cnblogs.com/roadwide/p/10580342.html 转载于:https://www.cnblogs.com/zhangqing979797/p/11457577.html
flask前后分离碰到的一些坑
abc_soul的博客
03-12 3418
首先 flask多对多关系 多对多关系,间表使用Table,定义一个用于关系的辅助表,不对间表直接操作,网上基本上都说强烈建议不使用模型,采用一个实际的表。我也就这样用了, course_class_relation=db.Table( "course_class_relation", db.Column("id",db.Integer, primary_key=T...
Flask强制登录 token 无感知更新 token禁用
qq_66810909的博客
07-04 468
1.强制登录需求 在开发, 部分接口是要求用户登录才能访问的, 所以有强制登录的需求. 当用户登录的情况下, 可以正常访问特定的接口, 但当用户没有登录的情况下, 访问特定的接口, 则要求用户进行登录.2.强制登录思路 1.定义装饰器脚本, 脚本内定义login_required装饰器 2.传入装饰器的函数就是请求要访问的视图, 所以在视图执行前, 进行判断, 如果用户登录则放行, 执行视图; 如果用户未登录则返回401状态码与'Invalid token'信息 3.如何判断用户是否登录呢? 之前的请求
FastAPI 基于OAuth2和JWT的Token认证机制(一)生成token
高压锅博客
06-18 1065
1. OAuth2PasswordBearer OAuth2PasswordBearer是接收URL作为参数的一个类:客户会向该URL发送username和password参数,然后得到一个token值。 OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明了客户用来获取token的目标URL。 当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返
接口交互时access_tokenrefresh_token如何处理过期问题?
热门推荐
04-20 1万+
最近在做API开发,主要是接口交互,开发文档涉及到授权的access_tokenrefresh_token 有2个疑问: 1,access_token过期可以通过refresh_token获取,而为什么不是再获取一下access_token就好呢 2,refresh_token过期呢?接口怎么获取? 先问问度娘 网上基本都是介绍微信开发的模式,有一个人写的还比较有意思 *******...
requests实现token鉴权-学习笔记总结
u013917094的博客
07-02 3914
import requests # 第一步 登录 获取token值 login_url = "http://api.lemonban.com/futureloan/member/login" # 登录地址 login_data = {"mobile_phone":"18311783673","pwd":"1234567890"} # 登录数据 headers = {"X-Lemonban-Media-Type": "lemonban.v2","Content-Type": .
使用flask 前后分离 上传文件
05-23
可以通过以下步骤来实现使用 Flask 进行前后分离上传文件: 1. 在前页面添加一个文件上传的表单,例如: ```html <form method="post" enctype="multipart/form-data" id="upload-form"> <input type="file" name="file" id="file-input"> <button type="submit">上传</button> </form> ``` 2. 在前页面编写 JavaScript 代码,使用 Fetch API 或 Axios 发送文件上传请求,例如: ```javascript const form = document.querySelector('#upload-form'); form.addEventListener('submit', (event) => { event.preventDefault(); const input = document.querySelector('#file-input'); const file = input.files[0]; const url = '/upload'; // 上传文件的后 API URL const formData = new FormData(); formData.append('file', file); fetch(url, { method: 'POST', body: formData, }).then(response => response.json()) .then(data => { console.log(data); }) .catch(error => { console.error(error); }); }); ``` 3. 在 Flask应用定义一个接收文件上传请求的路由,例如: ```python from flask import Flask, request, jsonify app = Flask(__name__) @app.route('/upload', methods=['POST']) def upload_file(): file = request.files['file'] # 对文件进行处理,例如保存到本地磁盘或者处理文件内容 return jsonify({'status': 'ok'}) ``` 在这个路由函数,可以通过 `request.files` 获取上传的文件对象,然后对文件进行处理。最后返回一个 JSON 格式的响应,告诉前文件上传成功或者失败。 需要注意的是,在使用 Flask 进行文件上传时,需要设置表单的 `enctype` 属性为 `multipart/form-data`,这样才能上传二进制文件数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gsxdcyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值