Python FastApi 实现签名验证

于 2024-10-02 11:51:16 发布
阅读量584 收藏 4
点赞数 8
分类专栏: Python 文章标签: fastapi python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rotion135/article/details/142679641
版权

大家在写后台接口时,都想要设计一个安全的,稳定的架构来支持各种业务,此文章介绍的Token的机制,和签名的验证。Token作为鉴权,签名作防篡改

目录

1.Token

2.签名

3.接口中的实现

1.Token

此处介绍的实现方式较简单,用的缓存来记录用户对应的Token,想要更完善一些的机制,可以使用数据库做记录,运行时做恢复读取处理。看实际项目规模来定

此处缓存的实现参考我的另一篇文章,有详细的介绍:Python Cache 实现缓存管理类_python缓存之importlib.cache的使用详解-CSDN博客

    # 创建数据库连接对象
    dao = UserDAO()
    # 根据登录名查询用户信息
    use = dao.GetUserByLogin(loginName=Account)
    if (use != None):
        # 验证密码是否一致
        if (use.Password == MD5(PassWord)):
            # 创建Token
            token = __createToken(dao, use)
            # 将生成的Token 保存到缓存中
            PyCache.set(use.UserCode, use)
            res = MsgModel(True, MsgErrorType.Success, "", token)
        else:
            # 返回错误信息
            res = MsgModel(False, MsgErrorType.Login_NameOrPwdError)
    else:
        # 返回错误信息
        res = MsgModel(False, MsgErrorType.Login_NameOrPwdError)

当用户登录成功后,会有相应的Token返回,前端就自己做登录状态记录。

请求头参数 和 Token的数据实例 参考如下:

class HeaderModel(BaseModelPY):
    UserCode :str #用户编码
    Timestamp :str #时间戳
    Nonce:str #随机数
    Signature:str #签名
    Permit:int #权限


#Token令牌
class TicketAuth(BaseModelPY):
    UserCode:str #用户编码
    Token:str #Token令牌
    CreateTime:datetime=None  #创建时间
    ExpireTime:datetime=None #过期时间
    RefreshToken:str #刷新Token令牌
    RefreshTokenExpireTime:datetime=None #刷新Token令牌 过期时间

Token的机制:

Token 不当做请求参数,但会参与签名的生成(下面会介绍)

时间戳用来判断请求时间,超过范围的视作无效的请求,也会参与签名的生成

随机数:作为参数,也会参与签名的生成

权限:一般作为权限阈值的判断,要不要使用就看项目定义了

Token有过期时效   后台判断过期后,则视为Token无效

RefreshToken的过期时效比Token要长,当Token过期后,可以使用RefreshToken进行刷新Token,前端可以自行做逻辑刷新(可以返回特定的Code作判断),从而让客户无感

当Token和RefreshToken都过期后,则需要重新登录了

2.签名

先定一个验证签名的方法  verify_signature

从请求头里边获取相应的信息,如用户编码、时间戳、随机数和签名信息

继而做一些逻辑判断,数据为空,时间戳超出范围等

用 用户编码 从缓存对像中获取后台保存的Token,判断Token的时效性

最后 后台通过缓存的Token 去生成一次签名,跟请求中的签名进行判断是否一致

签名的组装逻辑可以自行定义,比如下面的举例:

# 签名 UserCode+Timestamp+Nonce+Token 进行MD5加密 大写

将用户编码、时间戳、随机数和Token进行字符拼装,再进行MD5加密,随后转成大写

前端也是这么操作,后台也是如此生成 ;   前端通过登录时获取的Token去进行拼装,后台用缓存对象中的Token进行拼装;

这里我检讨一下:生成签名的数据应该还要包含 请求参数 才能防篡改,我这里是因为项目不对外开放,就写简单了。

实现方式就大概这么做,可以自行扩展

def verify_signature(request: Request) -> MsgModel:    
    try:
        # 从请求头中获取认证信息
        headerModel = HeaderModel()
        token: TicketAuth
        msg = MsgModel.Success()
        IsValid: bool = True

        # 通过request获取Header里边的数据模型
        headerModel.UserCode = request.headers.get("UserCode")  # 用户编码
        headerModel.Timestamp = request.headers.get("Timestamp")  # 时间戳
        headerModel.Nonce = request.headers.get("Nonce")  # 随机数
        headerModel.Signature = request.headers.get("Signature")  # 签名

        # Header数据不能为空
        if (IsValid and headerModel.UserCode == None or not headerModel.UserCode):
            IsValid = False
            msg = MsgModel(False, MsgErrorType.Header_Empty, "Header is empty")

        if (IsValid):
            # 验证时间戳
            # 将时间戳转换为日期时间对象
            ft = float(headerModel.Timestamp)/1000
            ts = datetime.fromtimestamp(timestamp=ft)
            # 时间计算差
            time_difference = datetime.now() - ts
            # 时间戳一分钟内有效
            if (time_difference.seconds > 300):
                IsValid = False
                msg = MsgModel(False, MsgErrorType.Request_TimeOut,
                               f"Request Time Out[{time_difference.seconds}]")

        if (IsValid):
            # 判断Token是否有效
            # 从缓存中取数据
            cache_key = headerModel.UserCode+"_Token"
            token = PyCache.get(cache_key)
            if (token is not None):
                # 判断Token是否过期
                if (token.ExpireTime < datetime.now()):
                    IsValid = False
                    msg = MsgModel(False, MsgErrorType.Token_Expired,
                                   "Token Have Expired")
            else:
                IsValid = False
                msg = MsgModel(False, MsgErrorType.Token_Expired,
                               "Token Have Expired")

        if (IsValid):
            # 验证用户请求是否合法
            # 签名 UserCode+Timestamp+Nonce+Token 进行MD5加密 大写
            strRaw = headerModel.UserCode+headerModel.Timestamp+headerModel.Nonce+token.Token
            sign = MD5(strRaw).upper()  # 变为大写
            # 验证参数中的签名是否一致
            if (headerModel.Signature != sign):
                IsValid = False
                msg = MsgModel(False, MsgErrorType.Sign_Invalid,
                               "The signature is invalid")
        if (IsValid):
            try:
                #从缓存数据获取用户数据 得到用户类型
                #获取用户类型相应的权限
                #再接口中判断是否足够的权限来调用
                user = PyCache.get(headerModel.UserCode)
                if (user is not None):
                    #获取用户类型的权限
                    dictList = PyCache.get("DictData")
                    dict = next(
                        (x for x in dictList if x.DictCode == user.UserType), None)
                    if (dict is not None):
                        headerModel.Permit = int(dict.DictValue)
                    else:
                        headerModel.Permit = 0
                else:
                    headerModel.Permit = 0
            except Exception as ex:
                headerModel.Permit = 0
                LogOperate.error("获取用户权限发生异常", ex)
                return MsgModel.Internal_Error()
        # headerModel.Permit=100
        msg.MsgContent = headerModel
        return msg
    except Exception as ex:
        LogOperate.error("签名验证发生异常", ex)
        return MsgModel.Internal_Error()

3.接口中的实现

最后再说下在每个接口中如何实现:

--- 无需签名验证的接口 : 比如登录接口

只需要定义入参 即可

@userLoginController.post(apiPrefix+'Login', name="登录-用户登录", response_model=None, summary="登录-用户登录")
async def user_login(Account: str = Form(...), PassWord: str = Form(...)):
    res = MsgModel.Failure()
    return res

--- 需要签名验证的接口:

一是定义入参,二是增加调用签名验证方法 verify_signature

下面的例子:

除了分页必要的参数 page、pageSize 等等,最后有个IsValid=Depends(verify_signature) 即是签名验证方法的调用

第一行就是作为判断签名验证是否通过了

如果签名验证失败了,记得要返回IsValid对象,否则接口会返回null

    if (IsValid.MsgSuccessed): 

    else:

        return IsValid

        

from fastapi import APIRouter, Depends
from datetime import datetime
from Modules.Models.MsgModel import MsgModel, MsgErrorType, MsgPageModel
from Modules.SysFrame.String import getApiPrefix, getVersion, IsNullOrEmpty, Guid, MD5
from Modules.SysFrame.GlobalData import verify_signature


@orderController.get(apiPrefix+'GetOrderPageList', name="Order-分页获取订单列表数据")
async def GetOrderPageList(page: int,  pageSize: int,  begin: datetime, end: datetime, orderId: str, customer: str, IsValid=Depends(verify_signature)):
    if (IsValid.MsgSuccessed):
        try:
            orderDao = OrderDAO()
            res = orderDao.GetOrderPageList(
                page, pageSize, begin, end, orderId, customer)

            if (res.IsSucessed):
                mList = res.Tag
                models = []
                for m in mList:
                    model = _Order_Entity_To_Model(m)
                    models.append(model.tojson())
                return MsgPageModel.Success(models, total=res.Total)
            else:
                return MsgPageModel.Failure(msgDes=res.Message)
        except Exception as ex:
            LogOperate.error("GetOrderPageList", ex)
            return MsgPageModel.Internal_Error()
    else:
        return IsValid

Rotion_深
关注
专栏目录
fastapi集成jwt
ithongchou的博客
06-27 683
【代码】fastapi集成jwt。
Python FastAPI 微信公众号后台服务器验证
03-18 2057
文章目录微信公众平台开发接入概述一、填写服务器配置二、验证消息的确来自微信服务器三、依据接口文档实现业务逻辑 微信公众平台开发接入概述 接入微信公众平台开发,开发者需要按照如下步骤完成: 1、填写服务器配置 2、验证服务器地址的有效性 3、依据接口文档实现业务逻辑 一、填写服务器配置 填写服务器地址(URL)、Token和EncodingAESKey, URL是开发者用来接收微信消息和事件的接口URL。 Token可由开发者可以任意填写,用作生成签名(该Token会和接口URL中包含的Token进行比
Python FastAPI系列:自定义FastAPI middleware中间件
夜如水.think
10-24 5301
​​在一些情况下,我们需要对整个FastAPI应用的全部或部分路由执行一些通用的功能,例如身份验证、日志记录、错误处理等,我们可以通过自定义FastAPI middleware中间件来完成。
Python开发】FastAPI 08:Security 登录认证
尹煜的博客
06-04 5086
FastAPI提供了多种工具,可帮助你以标准的方式轻松、快速地处理安全性,而无需研究和学习所有的安全规范,这相比花费大量的精力和代码处理安全性和身份认证很有好了(比如java😂)。
Python中Web开发-FastAPI框架
若不知道要驶向哪个码头,那么任何风都不会是顺风。
05-26 1138
大家好,在当今Web开发领域,高性能、易用性和可扩展性是开发者们追求的目标。Python作为一种流行的编程语言,在Web开发领域也有着强大的影响力。而在众多的Python Web框架中,FastAPI凭借其快速、现代和易用的特性,成为了开发者们的首选之一。本文将深入探讨FastAPI框架的特性、用法和实践。
FastAPI 结合 JWT
刘念卿的博客
08-02 1057
JWT(JSON Web Token)是一种用于安全地在各方之间传递信息的开放标准,通常用于用户认证和授权。它将用户信息编码为一个签名的令牌,客户端可以使用该令牌访问受保护的资源。在 FastAPI 中,JWT 用于保护 API 路由。用户通过提交用户名和密码获取 JWT,客户端在后续请求中使用该令牌进行身份验证。服务器验证令牌的合法性后,允许用户访问受保护的资源。
python高并发优选之FastAPI
江咏之
06-02 3507
FastAPI作为一种新兴的Python Web框架,具有许多优势。它的高性能、易用性和强类型支持使其适合于构建大型Web应用程序和RESTful API。但是,它仍然有一些缺点,例如社区还不够成熟、异步编程学习曲线陡峭等,需要开发人员进行权衡和选择。在我们之前提到的Flask和Django以及FastAPI之间的纠结,实际上并不是必须要选择其中一个。因为每一个框架都有自己的优势和适用场景,可以根据项目的规模、目标、需求等因素来进行选择。比如,对于中小型的简单项目,我们可以选择Flask;
python-fastapi-token的创建与验证
weixin_42100456的博客
10-17 3863
JWT token认证登陆 前一篇博客讲述了获取和验证请求参数, 这一篇就实践下,演示一个最基础的JWT认证,我公司是用了两个token方式验证,一个请求token,一个刷新token,请求token过期时间短,专门用于请求数据,刷新token专门用于刷新过期请求token用的。 jwt官网 https://jwt.io/ 如果还有不懂JWT的,就需要好好看看JWT的知识了,JWT认证目前是前后端分离中非常流行的一种认证方式: 由三段组成 第一段通常是加密算法,第二段是你存储的自定义信息(未加密
fastApi笔记12-OAuth2 实现密码哈希与 Bearer JWT 令牌验证
梦忆安凉的博客
02-28 905
fastApiOAuth2 实现密码哈希与 Bearer JWT 令牌验证
fastapi-jwt-auth:提供JWT Auth支持的FastAPI扩展(安全,易于使用和轻量级)
04-01
FastAPI JWT身份验证 说明文件: 源代码: 特征 提供JWT Auth支持(安全,易于使用和轻量级)的FastAPI扩展,如果您熟悉flask-jwt-extended,此扩展适合您,则导致此扩展受flask-jwt-extended的启发 :grinning_...
我使用Fastapi框架 想在请求头中增加sign验签 我该如何实现
weixin_35755434的博客
01-14 437
您可以在FastAPI的中间件中实现对请求头的sign验签。中间件是一种可以在请求和响应之间添加额外逻辑的机制。 首先,您需要定义一个中间件函数,在其中实现对请求头中的sign验签的逻辑。例如: from fastapi import FastAPI, Request def verify_sign(request: Request): # 验签逻辑 if "sign" not ...
Fastapi token验证
iamCccic的博客
03-02 1856
Fastapi token验证 服务端: /security.py: import hashlib import hmac from fastapi import HTTPException, Header import time SECRET = '123' # 秘钥串,自定义 def get_sign(username: str, nonce: str, ts: str, sk: str) -> str: """ 生成签名 ak:也可以使用各自的id nonce:随机
Tortoise-ORM FastAPI integration 中文文档(完整版)
????Fender的博客????
08-11 1520
是一个轻量级的集成工具包,其中包含一个可以在生命周期设置/清理 Tortoise-ORM 的类。FastAPI 基本上是由 Starlette 这 Pydantic 两个库以一种非常独特的方式结合而成的。
VeighNa:强大的Python开源量化交易平台
Unity打怪升级
09-26 733
VeighNa(简称 VN 或 vn.py)是一个基于 Python 的开源量化交易平台,专为量化交易爱好者和专业交易员设计。VeighNa 是由国内开发者社区推动的开源项目,旨在提供一个功能丰富、灵活且易于扩展的量化交易解决方案。该框架不仅支持多种资产类别的交易,如股票、期货、期权、加密货币等,还支持多种交易接口和协议,使得用户能够轻松进行多市场、多品种的交易策略开发和部署。
第二百五十四节 JPA教程 - JPA 多对多映射示例
2301_78772942的博客
09-27 716
第二百五十四节 JPA教程 - JPA 多对多映射示例
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
最新发布
haidizym的博客
10-02 387
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python
python中的深浅拷贝以及总体框架了解
AgostoDu的博客
09-26 1190
1、当b使用copy.deepcopy()深拷贝的时候,可以理解为b不仅外面的整体开辟了一个新的内存地址,b里面包含的列表也开辟了新的内存地址和a里面的内存地址没有任何关系,所以当a修改里面列表元素的值时不会影响b里面列表元素的值。print(mr) #{'name': 'lis', 'age': 18, 'scroe': 100}<br>备注:已经存在的值的优先级>默认值<br>6.3 直接修改 值,显示最新修改值 (修改默认值优先级小于直接添加的字典值)<br>
遥感影像-实例分割数据集:iSAID 从切图到YOLO格式数据集制作详细介绍
GIS潮流
09-30 1019
开源数据集isaid标注包含实例分割,但是原始影像太大,很吃显存,一般显卡无法用原始影像直接训练,所以需要对影像进行裁剪,并生成对应的标签,因为想用yolo系列跑模型,所以将标签需要转为txt格式。
python fastapi gzip
08-26
Python FastAPI中,gzip是一种常用的压缩工具,用于减少HTTP响应的数据传输量,提高网络传输效率。FastAPI本身并不内置对gzip的支持,但你可以通过第三方库`Uvicorn`和`Compress`或者直接使用Python标准库`gzip`来实现。 首先,你需要安装`Compress`库,可以使用pip进行安装: ```bash pip install fastapi_compress ``` 然后,在FastAPI应用中,你可以配置`Uvicorn`服务器启用gzip压缩。例如,在`main.py`文件中: ```python from fastapi import FastAPI from fastapi_compress import Compress app = FastAPI() # 启用gzip压缩 compress = Compress(app) @app.get("/") async def root(): return {"message": "Hello, World!"} ``` 接着,启动服务时带上`--http-compression`选项: ```sh uvicorn main:app --host 0.0.0.0 --port 8000 --http-compression ``` 现在,当你访问应用的资源时,返回的数据会被自动进行gzip压缩。至于在HTTP请求级别启用gzip,可以在客户端设置合适的Accept-Encoding头,如浏览器或curl: ```bash curl -H "Accept-Encoding: gzip" http://localhost:8000/ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rotion_深

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值