魔改flask-httpauth

最新推荐文章于 2024-05-14 09:54:13 发布
最新推荐文章于 2024-05-14 09:54:13 发布
阅读量516 收藏
点赞数
文章标签: python flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43730174/article/details/116705370
版权

前情提要:由于前后端分离开发涉及到的无状态问题(前端每次请求后端接口都是新建一个会话,很难通过传统的cookie-session方式来实现验证用户登录,存储用户登录状态等功能),所以考虑了前后端传递token的方式对用户的登录状态进行验证。而为了token的安全性(以及实现的方便性),我使用了flask-httpauth这个第三方模块来实现用户token验证的功能。(注意,我这里使用的是此模块的一部分 – HTTPTokenAuth,如果要使用基本认证请左转出门)

但没想到,这是噩梦的开端

初步使用flask-httpauth

当考虑使用第三方模块的时候,我的第一动作就是去观摩一下前人的使用方式。我很幸运,成功的找到了关于flask-httpauth的教程案例。

首先,是万能第一步

在你项目目录下的命令行(虚拟环境也一样)中敲入这句

pip install flask-httpauth

这样,flask-httpauth就被装到了你的项目环境中

接下来,找到你要用到这个模块的python文件

# 引入头文件
from flask_httpauth import HTTPTokenAuth
# 引入istdangerous模块中的TimedJSONWebSignatureSerializer类用来生成一个具有过期时间的token
# BadSignature是一个异常,当token错误的时候会抛出此异常
# SignatureExpored是一个异常,当token过期的时候会抛出此异常
from itsdangerous import TimedJSONWebSignatureSerializer, BadSignature, SignatureExpired

# 初始化HTTPTokenAuth对象。传入的scheme表示前缀,具体什么作用稍后再说
auth = HTTPTokenAuth(scheme="DAHU")

# 写一个获取token的函数,使用的是API形式,方便测试时获取
@app.route('/api/test-http-auth-token/token', methods=["GET"])
def get_token():
    # 创建一个TimedJSONWebSignatureSerializer对象
    # 第一个参数是随便一串字符串
    # 第二个参数设定过期时间,单位为秒,比如我这里设定的就是1分钟过期(方便测试能否正常捕获token过期异常)
    s1 = TimedJSONWebSignatureSerializer("DAHUBIGFOXSHABI", expires_in=60)
    # 将userId作为数据装到token中,方便我们之后校验用户
    # 默认s1.dumps执行完后返回的是byte格式,但我们需要的是字符串格式,所以用decode函数对结果解码得到token字符串
    token = s1.dumps({"userId": 1}).decode('ascii')
    # 返回json格式的token
    return jsonify(Authorization=token)

# 你可以在这个装饰器下面的函数内实现你自己的token验证方法
@auth.verify_token
def verify_token(token):
    """验证token
		
        :param token: 要验证的token
    """
    # 创建TimedJSONWebSignatureSerializer,传入一个参数,就是前文中那一串字符串(要和前文一样)
    s = TimedJSONWebSignatureSerializer("DAHUBIGFOXSHABI")
    try:
        print(token)
        # 解析token,获取数据(也就是咱们之前包装在token中的{"userId":1})
        data = s.loads(token)
        print(data)
    except SignatureExpired:
        print("token过期")
        return False
    except BadSignature:
        print("token错误")
        return False
    uid = data['userId']
    print(uid)
    return True

@app.route('/api/test-http-auth-token/token', methods=["POST"])
# 加了这条语句就表示要访问此路由需要进行token认证
@auth.login_required
def verify_token():
    return jsonify(code=200)

以上代码还有一点是需要注意的: 捕捉SignatureExpired异常和捕捉BadSignature异常的顺序是不可以颠倒的,因为在源程序中SignatureExpired类的继承顺序是这样的: SignatureExpired继承于BadTimeSignature, BadTimeSignature继承于BadSignature。

显而易见,SignatureExpired是BadSignature的子孙类,如果先捕获BadSignature异常的话,SignatureExpired也会被作为BadSignature异常被捕获,也就不能精确的获取token过期的错误消息了。

接口全部书写完毕,接下来就是紧张刺激的测试环节了

我使用的测试接口的工具是ApiPost, 具体操作我就不赘述了,我创建了两个接口测试用例

  1. 第一个是获取token, 也就是对应着刚刚写的代码中的get_token函数
  2. 第二个是验证token, 也就是对应着刚刚写的代码中的verify_token函数

首先把flask运行起来

然后获取token,对接口发送请求后会返回这么一条json数据

get_token返回的数据

Authorization对应的字符串就是我们需要的token

最后就是验证token了,将Authorization作为请求头,如下

验证token的请求头示例 
  Authorization:DAHU eyJhbGciOiJIUzUx...

发送请求后会有三种情况

  1. 认证成功

  2. token错误

  3. token过期

这样,token验证就基本完成了

一切源于不满足

但是,在上面例子里面我们还是能发现一些问题,也就是当token验证失败的时候的返回值(响应)只是一串字符串 – Unauthorized Access,这显然不能满足我们后端API开发的需求,我们需要一个更规范化的返回值。

了解问题,实践开始

惯例第一步,面向搜索引擎。但是这次“可靠的”搜索引擎某度辜负了我的期待,我并没有在搜索引擎上面找到能满足我们方案的办法。

没办法,只能源码走起了

因为是为了自定义验证后的返回值,所以直接聚焦@auth.login_required装饰器的代码

注意:HTTPTokenAuth是继承于HTTPAuth类的,login_required也是定义在HTTPAuth中的

# flask_httpauth.py
# HTTPAuth类

def login_required(self, f=None, role=None, optional=None):
        if f is not None and \
                (role is not None or optional is not None):  # pragma: no cover
            raise ValueError(
                'role and optional are the only supported arguments')

        def login_required_internal(f):
            @wraps(f)
            def decorated(*args, **kwargs):
                auth = self.get_auth()

                # Flask normally handles OPTIONS requests on its own, but in
                # the case it is configured to forward those to the
                # application, we need to ignore authentication headers and
                # let the request through to avoid unwanted interactions with
                # CORS.
                if request.method != 'OPTIONS':  # pragma: no cover
                    password = self.get_auth_password(auth)

                    status = None
                    user = self.authenticate(auth, password)
                    if user in (False, None):
                        status = 401
                    elif not self.authorize(role, user, auth):
                        status = 403
                    if not optional and status:
                        # Clear TCP receive buffer of any pending data
                        request.data
                        try:
                            return self.auth_error_callback(status)
                        except TypeError:
                            return self.auth_error_callback()

                    g.flask_httpauth_user = user if user is not True \
                        else auth.username if auth else None
                return f(*args, **kwargs)
            return decorated

        if f:
            return login_required_internal(f)
        return login_required_internal

因为是要解决错误时候的返回值自定义问题,所以直接聚焦31~34行的错误处理语句

try:
    return self.auth_error_callback(status)
except TypeError:
    return self.auth_error_callback()

可以发现一个关键点 – auth_error_callback(),所以直接向上翻,可以看到auth_error_callback是在__init__中定义的属性

# HttpAuth

 def __init__(self, scheme=None, realm=None, header=None):
        self.scheme = scheme
        self.realm = realm or "Authentication Required"
        self.header = header
        self.get_password_callback = None
        self.get_user_roles_callback = None
        self.auth_error_callback = None

        def default_get_password(username):
            return None

        def default_auth_error(status):
            return "Unauthorized Access", status

        self.get_password(default_get_password)
        self.error_handler(default_auth_error)

由于这里的auth_error_callback是None,做不到上面的错误处理功能,所以我们可以猜测HTTPAuth类中会在某个地方对其进行赋值。

直接在文件中搜索auth_error_callback

suprise!我们在error_handler中找到了对auth_error_callback的赋值

# HttpAuth

def error_handler(self, f):
        @wraps(f)
        def decorated(*args, **kwargs):
            res = f(*args, **kwargs)
            check_status_code = not isinstance(res, (tuple, Response))
            res = make_response(res)
            if check_status_code and res.status_code == 200:
                # if user didn't set status code, use 401
                res.status_code = 401
            if 'WWW-Authenticate' not in res.headers.keys():
                res.headers['WWW-Authenticate'] = self.authenticate_header()
            return res
        self.auth_error_callback = decorated
        return decorated

显而易见,这里传递的参数是一个函数,auth_error_callback得到的值也是一个函数

下一步,找到error_handler函数的调用位置。如果之前仔细看了HttpAuth的__init__函数,会发现error_handler的调用就在那里(见上个代码块第18行)

self.error_handler(default_auth_error)

老惯例,找default_auth_error,也在HttpAuth的__init__函数中

def default_auth_error(status):
    return "Unauthorized Access", status

发现了吗?如此熟悉的字符串。对,就是在这里,我们只要修改了这里就可以修改错误时的返回值了!

但是,在源文件上改显然不是个好方法。

我们需要创建一个新类继承于HTTPTokenAuth

Q:既然要重写的函数都是定义在HTTPAuth中的为什么不直接继承于HTTPAuth呢?

A:因为我们要用到HTTPTokenAuth中独有的装饰器verify_token啊小傻瓜

class HTTPTokenAuthReReturn(HTTPTokenAuth):
    def __init__(self, scheme=None, realm=None, header=None):
        super().__init__(scheme, realm, header)
		
        # 重写default_auth_error, 或者也可以重新定义一个函数
        def default_auth_error(status):
        return jsonify(data={}, header={},
        				message="token错误!",code=status,result=False),status
		
        #如果重新定义函数的话,这里就传入新定义的函数名
        super().error_handler(default_auth_error)

然后直接创建HTTPTokenAuthReReturn对象取代之前的HTTPTokenAuth对象

auth = HTTPTokenAuthReReturn(scheme="DAHU")

进入紧张刺激的测试环节

随便输入一个错误的token,结果如下

然后输入正确的token,结果如下

成功了!

两种异常

经过本文上述的操作之后,已经能成功的返回我们自定义的返回值了。但是依旧有一个问题 – token有两种异常状态:1、token错误 2、token过期, 但是我们现在的返回值只能返回token错误,并不能根据实际的情况返回对应的异常。

需求明确,试验开始

首先要明确这两种异常是在哪里被捕获的

即我们前面自定义的verify_token函数

# verify_token
except SignatureExpired:
    print("token过期")
    return False
except BadSignature:
    print("token错误")
    return False

从这里可以看出,要区别这两个异常就要从返回值入手。

废话不多说,转入源码

# flask_httpauth.py
# HTTPTokenAuth类
def verify_token(self, f):
    self.verify_token_callback = f
    return f

这里verify_token_callback被赋值为f,也就是我们自定义的,被@verify_token修饰的verify_token函数

搜索verify_token_callback, 可以发现verify_token_callback被同类下的authenticate函数使用

# flask_httpauth.py
# HTTPTokenAuth类
def authenticate(self, auth, stored_password):
	if auth:
		token = auth['token']
	else:
		token = ""
	if self.verify_token_callback:
        return self.verify_token_callback(token)

先不用在意前面的处理细节,我们只需要注意到这个函数的返回值就相当于verify_token(token),这里的token就是我们在请求头里传入的Authorization

搜索authenticate的使用,会发现这个函数在login_required中被使用了(下面代码块中第16行)

def login_required(self, f=None, role=None, optional=None):
        if f is not None and \
                (role is not None or optional is not None):  # pragma: no cover
            raise ValueError(
                'role and optional are the only supported arguments')

        def login_required_internal(f):
            @wraps(f)
            def decorated(*args, **kwargs):
                auth = self.get_auth()
                
                if request.method != 'OPTIONS':  # pragma: no cover
                    password = self.get_auth_password(auth)

                    status = None
                    user = self.authenticate(auth, password)
                    if user in (False, None):
                        status = 401
                    elif not self.authorize(role, user, auth):
                        status = 403
                    if not optional and status:
                        # Clear TCP receive buffer of any pending data
                        request.data
                        try:
                            return self.auth_error_callback(status)
                        except TypeError:
                            return self.auth_error_callback()

                    g.flask_httpauth_user = user if user is not True \
                        else auth.username if auth else None
                return f(*args, **kwargs)
            return decorated

        if f:
            return login_required_internal(f)
        return login_required_internal

所以,user就是verify_token(token)的返回值。

思路来了:如果是两个异常中的一个,我们就在verify_token返回一串对应的字符串,而不仅仅是True和False,在login_required中对user进行判断,如果是我们的异常字符串,就给错误处理函数传递一个message,再组合在API返回值中返回

具体实施如下

1、对default_auth_error函数再次重写,添加一个message参数

def default_auth_error(status, message):
            return jsonify(data={}, header={},message=message
            				, code=status, result=False), status

2、修改verify_token函数

@auth.verify_token
def verify_token(token):
    s = TimedJSONWebSignatureSerializer("DAHUBIGFOXSHABI")
    try:
        print(token)
        data = s.loads(token)
        print(data)
    except SignatureExpired:
        print("token过期")
        # 这里不用False,而是用自定义字符串
        return "SignatureExpired"
    except BadSignature:
        print("token错误")
        # 这里不用False,而是用自定义字符串
        return "BadSignature"
    uid = data['userId']
    print(uid)
    return True

3、重写login_required函数

def login_required(self, f=None, role=None, optional=None):
        if f is not None and \
                (role is not None or optional is not None):  # pragma: no cover
            raise ValueError(
                'role and optional are the only supported arguments')

        def login_required_internal(f):
            @wraps(f)
            def decorated(*args, **kwargs):
                auth = self.get_auth()

                if request.method != 'OPTIONS':  # pragma: no cover
                    password = self.get_auth_password(auth)

                    status = None
                    message = None
                    user = self.authenticate(auth, password)
                    print(user)
                    # 这里判断verify_token的返回值是否是这里的一员
                    if user in (False, None, 'BadSignature', 'SignatureExpired'):
                        status = 401
                        if user == 'BadSignature':
                            message = "登录验证失败"
                        elif user == 'SignatureExpired':
                            message = "登录过期"
                    elif not self.authorize(role, user, auth):
                        status = 403
                    if not optional and status:
                        # Clear TCP receive buffer of any pending data
                        request.data
                        try:
                        	# 因为之前重写了default_auth_error所以多传入一个message
                            return self.auth_error_callback(status, message)
                        except TypeError:
                            return self.auth_error_callback()

                    g.flask_httpauth_user = user if user is not True \
                        else auth.username if auth else None
                return f(*args, **kwargs)
            return decorated

        if f:
            return login_required_internal(f)
        return login_required_internal

接下来就是紧张刺激的测试环节了!

  1. 传入一个过期的token

  2. 传入一个错误的token

  3. 传入正确的token

成功!

哦吼乌拉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flask-basicauth:FlaskHTTP基本访问身份验证
05-22
**Flask-BasicAuth: FlaskHTTP基本访问身份验证** Flask-BasicAuth是一个针对Flask框架的扩展,它的主要功能是实现HTTP基本访问身份验证(HTTP Basic Access Authentication)。这种身份验证方式是Web开发中一种...
pythonflask-httpauth库用法详解
IT之一小佬的博客
03-06 1067
pythonflask-httpauth库用法详解
Flask-HTTPAuth基本使用
pythonwhile的博客
03-04 2525
Flask-HTTPAuth 介绍 Flask-HTTPAuth 是一个基于全局的接口的校验登录 安装 pip install flask-httpauth 使用 flask-httpauth 提供了基于装饰器类型的视图函数校验,也可也结合falsk-restful进行接口类的校验,并且提供了两种校验的策略,分别是: 用户名密码校验 flask-httpauth使用者可以通过使用auth.verify_password从写校验函数,然后调用login_required方法使用 案例一:直接使用 from
Flask-HTTPAuth 分析
示例和笔记
06-01 356
Flask-HTTPAuthFlask 的一个扩展,用于基于 HTTP 认证构建认证和授权系统。它提供了两种认证方式:基本认证(使用用户名和密码)和令牌认证(使用令牌)。其程序结构如下:这样就完成了基本的 Flask-HTTPAuth 认证和授权系统的搭建。
FLASK中的鉴权的插件Flask-HTTPAuth
javascript_good的博客
09-17 769
在 Web 应用中,我们经常需要保护我们的 api,以避免非法访问。比如,只允许登录成功的用户发表评论等。Flask-HTTPAuth 扩展可以很好地对 HTTP 的请求进行认证,不依赖于 Cookie 和 Session。本文主要介绍两种认证的方式:基于密码和基于令牌 (token)。
python 使用flask_httpauth和pyjwt实现登录权限控制
Damien_J_Scott的博客
04-26 931
这样的话,只需要引入之前定义的auth_provider,然后在需要登录之后才能访问的api上加入@auth_provider.login_required,当然auth_provider这个变量名是自己取的,你怎么定义的就用什么就行了。这样的话访问该api的时候就会自动去拿jwt验证。登录的方法可以看到,验证密码之后就会生成jwt返回 ,前端接到这个jwt之后,就会放在之后的请求内。jwt过期时间你可以根据需求自己定义。最近需要用到,学习了一下记录。实现验证token的方法,生成密码的方式在这里。
Flask-HTTPAuth:简单的扩展,为Flask路由提供基本,摘要和令牌HTTP身份验证
02-05
Flask-HTTPAuth 简单扩展,为Flask路由提供基本和摘要HTTP身份验证。 安装 安装它的最简单方法是通过pip。 pip install Flask-HTTPAuth 基本身份验证示例 from flask import Flask from flask_httpauth import ...
flask-security-admin-example:结合Flask-Security和Flask-Admin的示例
05-01
结合Flask-Security和Flask-Admin的示例史蒂夫·萨波特(Steve Saporta) 2014年4月15日 Flask-Security提供了一种向Flask Web应用程序添加身份验证和授权的便捷方法。 Flask-Admin提供了一种对数据库表执行CRUD操作...
flask-3.0.2-py3-none-any.whl
03-07
在压缩包子文件的文件名称列表中,我们看到有两个文件:flask-3.0.2-py3-none-any.whl.txt和flask-3.0.2-py3-none-any.whl。前者可能是关于这个wheel包的一些说明文档或者日志,后者则是实际的可安装包文件。通常,....
flask-rebar-auth0:Auth0的Flask-Rebar身份验证器
05-24
Flask-Rebar-Auth0 简单身份验证。 您的访问令牌必须是,此身份验证器才能工作。 初始化 # Config app . config . from_mapping ({ "AUTH0_ENDPOINT" : "perdu.auth0.com" , # The Auth0 domain for your tenant ...
python flask oauth_Flaskflask_httpauth(HTTPTokenAuth)
weixin_39673303的博客
11-28 214
写一个简单的FlaskAPI,Token验证下载flask-httpauth包,itsdangerous包后者是用来生成临时身份令牌,检验token的pip install flask-httpauthpip install itsdangerousmodel.py文件:(在model文件中user类下添加生成token方法)# 生成token@staticmethoddef generate_a...
PythonFlask API 登录
Minuhy
04-24 674
Flask API 登录 零、起因 最近要写uniapp客户端,服务器使用的是PythonFlask框架,为了实现用户登录,在网上查到了一些Flask的扩展,其中比较简单的就是flask_httpauth(此时版本__version__ = ‘4.2.1dev’),其官网给出的基本示例: from flask import Flask from flask_httpauth import HTTPBasicAuth from werkzeug.security import generate_passwo
flask HTTPAuth封装:同时支持Token和Basic认证的解决方案
a66920164的博客
04-06 715
前端页面为了保证访问页面的流畅以及浏览器兼容性,最好是使用token或session做用户认证,因为前端有跨域需求,调用cookie比较麻烦,因此这里直接使用token。 而在API接口调用的需求中,使用basic认证会比较方便,只需要在请求头附带账号密码即可,如果使用token验证方式使用API接口的话,则需要先从认证端口获取一个token,再在后续的api请求中附带这个token,对接方面会增加复杂度。
python token flask_Flaskflask_httpauth(HTTPTokenAuth)
weixin_32771631的博客
02-03 696
写一个简单的FlaskAPI,Token验证下载flask-httpauth包,itsdangerous包后者是用来生成临时身份令牌,检验token的pip install flask-httpauthpip install itsdangerousmodel.py文件:(在model文件中user类下添加生成token方法)# 生成token@staticmethoddef generate_a...
推荐使用 Flask-HTTPAuth - 强大的Python HTTP认证解决方案
最新发布
gitblog_00091的博客
05-14 339
推荐使用 Flask-HTTPAuth - 强大的Python HTTP认证解决方案 Flask-HTTPAuthSimple extension that provides Basic, Digest and Token HTTP authentication for Flask routes项目地址:https://gitcode.com/gh_mirrors/fl/Flask-HTTPAu...
14.1 使用Flask-HTTPAuth认证用户
sinat_34927324的博客
06-05 5800
    最近几年, Web程序有种趋势, 那就是业务逻辑越来越多的移到了客户端一侧, 开创出了一种称为富互联网应用(RIA)的架构。在RIA中, 服务器的主要功能是为客户提供数据存取服务。 在这种模式中, 服务器变成了Web服务或应用编程接口(API)    RIA可采用多种协议与Web服务通信, 最近几年REST崭露头角。    Flask是开发REST架构Web服务的理想框架, 本章我们了解如...
tp6获取不到请求头的Authorization, 解决方法
Shelly Long的博客
12-06 3838
在.htaccess里面加多一项 <IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^...
flask-HTTPAuth 基本认证
yibuchen的博客
05-30 6625
Mr chen最近在研究flask-HTTPAuth 摘要,就顺便把基本认证也看了看,两者的区别就不讲了,网上很多讲的,总结起来就是一句摘要认证比基本认证安全就对了,下面先说说基本认证。flask-HTTPAuth是一个简单的扩展,它简化了使用Flask路径的HTTP认证使用。基本认证的例子(Basic authenticationexample)下面的示例应用程序使用HTTP基本身份验证来保护路...
Flask 扩展 HTTP认证
weixin_34220179的博客
06-21 243
Restful API不保存状态,无法依赖Cookie及Session来保存用户信息,自然也无法使用Flask-Login扩展来实现用户认证。所以这里,我们就要介绍另一个扩展,Flask-HTTPAuth。 pip install flask-httpauth 接下来创建扩展对象实例: from flask import Flask from flask_httpauth import...
创建Flask-HTTPAuth
03-04
创建 Flask-HTTPAuth 是为了在 Flask 应用程序中实现基于 HTTP 的身份验证。它提供了一种简单的方式来保护您的应用程序的特定部分,只允许授权用户访问。您可以使用 Flask-HTTPAuth 来实现基本身份验证、令牌身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值