python flaskweb开发 data = s.loads(token)原理分析

最新推荐文章于 2022-10-02 16:22:56 发布
最新推荐文章于 2022-10-02 16:22:56 发布
阅读量1k 收藏 2
点赞数
分类专栏: python flask web开发 文章标签: python flask web web程序开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34927324/article/details/78389942
版权

一, 内容回顾

    首先我们来看生成令牌和解码令牌的代码:

    from itsdangerous import TimedJSONWebSignatureSerializer

        s = TimedJSONWebSignatureSerializer(app.config['SECRET_KEY'], expires_in=3600)

        token = s.dumps({'confirm': 23})

        data = s.loads(token)


    上次我们讲到dumps函数生成的token是 (1) 和 (2)用 ‘.’连接起来的字符串

        (1)header字典({‘alg’: 'HS256', 'iat': 当前时间, 'exp': 过期时间})的字符串base64编码 + obj字典({'confirm': 23})的字符串的base64编码 中间用 ‘.’进行分隔 (value)

        (2)key(b'itsdangerous' + b'signer' + app.config['SECRECT_KEY']  sha1加密后的字符串)作为键, value(就是(1)) 作为值, 用hashlib.sha256进行加密后的字符串的base64编码


小知识:
python2.x里, b前缀没什么具体意义, 只是为了兼容python3.x的这种写法

python3.x里默认的str是(py2.x里的)unicode, bytes是(py2.x)的str, b”“前缀代表的就是bytes

这里我们用的是python2.x, 所以不用去考虑b

二,这节我们来看data = s.loads(token), 分析loads函数是如何把token还原为data的:

我们首先来看loads函数:

参数s被赋值为token, salt和return_header采用默认值None和False。

    def loads(self, s, salt=None, return_header=False):
        payload, header = JSONWebSignatureSerializer.loads(
            self, s, salt, return_header=True)

        if 'exp' not in header:
            raise BadSignature('Missing expiry date', payload=payload)

        if not (isinstance(header['exp'], number_types)
                and header['exp'] > 0):
            raise BadSignature('expiry date is not an IntDate',
                               payload=payload)

        if header['exp'] < self.now():
            raise SignatureExpired('Signature expired', payload=payload,
                                   date_signed=self.get_issue_date(header))

        if return_header:
            return payload, header
        return payload

(1)TimedJSONWebSignatureSerializer的loads方法中调用了父类的loads方法:

    s=token , salt=None, return_header=True

    def loads(self, s, salt=None, return_header=False):
        """Reverse of :meth:`dumps`. If requested via `return_header` it will
        return a tuple of payload and header.
        """
        payload, header = 
        if header.get('alg') != self.algorithm_name:
            raise BadHeader('Algorithm mismatch', header=header,
                            payload=payload)
        if return_header:
            return payload, header
        return payload

    1.        payload, header = self.load_payload(self.make_signer(salt, self.algorithm).unsign(want_bytes(s)), return_header=True)

        1.1 self.make_signer(salt, self.algorithm)

            salt=None, self.algorithm = HMACAlgorithm(hashlib.sha256)

    def make_signer(self, salt=None, algorithm=None):
        if salt is None:
            salt = self.salt
        key_derivation = 'none' if salt is None else None
        if algorithm is None:
            algorithm = self.algorithm
        return self.signer(self.secret_key, salt=salt, sep='.',
            key_derivation=key_derivation, algorithm=algorithm)
           self.salt = wantbytes(b'itsdangerous')= ‘itsdangrous’  wantbytes函数的作用是把unicode字符串转换成str。

           key_derivation = None

          所以make_signer函数最后返回的是self.signer(app.config['SECRECT_KEY'], salt='itsdangerous', sep = '.',key_derivation=None,algorithm=HMACAlgorithm(hashlib.sha256)')

          self.signer = Signer, 即Singer(app.config['SECRECT_KEY'], salt='itsdangerous', sep = '.', key_derivation=None, algorithm=HMACAlgorithm(hashlib.sha256))

          Singner的构造函数:

          

class Signer(object):
    default_digest_method = staticmethod(hashlib.sha1)
    default_key_derivation = 'django-concat'
    def __init__(self, secret_key, salt=None, sep='.', key_derivation=None,
                 digest_method=None, algorithm=None):
        self.secret_key = want_bytes(secret_key)
        self.sep = sep
        self.salt = 'itsdangerous.Signer' if salt is None else salt
        if key_derivation is None:
            key_derivation = self.default_key_derivation
        self.key_derivation = key_derivation
        if digest_method is None:
            digest_method = self.default_digest_method
        self.digest_method = digest_method
        if algorithm is None:
            algorithm = HMACAlgorithm(self.digest_method)
        self.algorithm = algorithm
          所以Singer(app.config['SECRECT_KEY'], salt=b'itsdangerous', sep = '.', key_derivation=None, algorithm='HS256')创建了一个Singner类的实例,并设置了如下属性:

          self.secrect_key = want_bytes(app.config['SECRECT_KEY'])

          self.sep = '.'

          self.salt = b'itsdangrous'

          self.key_derivation = 'django-concat'

          self.difest_method = staticmethod(hashlib.sha1)

          self.algorithm = 'HS256'


          结论:所以self.make_signer(salt, self.algorithm)返回的是Singner的实例


         然后这个实例调用unsign方法: self.make_signer(salt, self.algorithm).unsign(want_bytes(s))

          s=token

    def unsign(self, signed_value):
        """Unsigns the given string."""
        signed_value = want_bytes(signed_value)
        sep = want_bytes(self.sep)
        if sep not in signed_value:
            raise BadSignature('No %r found in value' % self.sep)
        value, sig = signed_value.rsplit(sep, 1)
        if self.verify_signature(value, sig):
            return value
        raise BadSignature('Signature %r does not match' % sig,
                           payload=value)
          这个函数把token分成了(1) (2)两部分, 然后调用了verify_signatue函数: 

    def verify_signature(self, value, sig):
        """Verifies the signature for the given value."""
        key = self.derive_key()
        try:
            sig = base64_decode(sig)
        except Exception:
            return False
        return self.algorithm.verify_signature(key, value, sig)
         derive_key函数: 

    def derive_key(self):
        """This method is called to derive the key.  If you're unhappy with
        the default key derivation choices you can override them here.
        Keep in mind that the key derivation in itsdangerous is not intended
        to be used as a security method to make a complex key out of a short
        password.  Instead you should use large random secret keys.
        """
        salt = want_bytes(self.salt)
        if self.key_derivation == 'concat':
            return self.digest_method(salt + self.secret_key).digest()
        elif self.key_derivation == 'django-concat':
            return self.digest_method(salt + b'signer' +
                self.secret_key).digest()
        elif self.key_derivation == 'hmac':
            mac = hmac.new(self.secret_key, digestmod=self.digest_method)
            mac.update(salt)
            return mac.digest()
        elif self.key_derivation == 'none':
            return self.secret_key
        else:
            raise TypeError('Unknown key derivation method')

           这个函数返回 staticmethod(hashlib.sha1)(b'itsdangrous' + b'signer' + app.config['SECRECT_KEY']).digest(),赋值给key

           然后把(2)进行base64解码给sig

           value 是(1)

           verify_signatue函数返回self.algorithm.verify_signature(key, value, sig) 即HMACAlgorithm(hashlib.sha256).verify_signature(key, value, sig)

           创建了HMACAlgorithm类的实例, 并设置实例属性self.digest_method = hashlib.sha256,然后调用父类verify_signature方法,

    def verify_signature(self, key, value, sig):
        """Verifies the given signature matches the expected signature"""
        return constant_time_compare(sig, self.get_signature(key, value))
            子类self.get_signature方法,返回的就是key作为键, value作为值, 用hashlib.sha256加密后的字符串

            和sig一样, 所以constant_time_compare函数返回True,

            结论:所以unsign函数返回value。

      self.load_payload(value, return_header=True), load_payload函数:

       

    def load_payload(self, payload, return_header=False):
        payload = want_bytes(payload)
        if b'.' not in payload:
            raise BadPayload('No "." found in value')
        base64d_header, base64d_payload = payload.split(b'.', 1)
        try:
            json_header = base64_decode(base64d_header)
        except Exception as e:
            raise BadHeader('Could not base64 decode the header because of '
                'an exception', original_error=e)
        try:
            json_payload = base64_decode(base64d_payload)
        except Exception as e:
            raise BadPayload('Could not base64 decode the payload because of '
                'an exception', original_error=e)
        try:
            header = Serializer.load_payload(self, json_header,
                serializer=json)
        except BadData as e:
            raise BadHeader('Could not unserialize header because it was '
                'malformed', original_error=e)
        if not isinstance(header, dict):
            raise BadHeader('Header payload is not a JSON object',
                header=header)
        payload = Serializer.load_payload(self, json_payload)
        if return_header:
            return payload, header
        return payload
           我们知道, value就是 header字典({‘alg’: 'HS256', 'iat': 当前时间, 'exp': 过期时间})的字符串base64编码 + obj字典({'confirm': 23})的字符串的base64编码 中间用 ‘.’进行分隔 (value)

          这个函数把两个编码后的字符串分割开,然后分别解码成字典字符串,然后分别调用Serializer.load_payload函数:

    def load_payload(self, payload, serializer=None):
        """Loads the encoded object.  This function raises :class:`BadPayload`
        if the payload is not valid.  The `serializer` parameter can be used to
        override the serializer stored on the class.  The encoded payload is
        always byte based.
        """
        if serializer is None:
            serializer = self.serializer
            is_text = self.is_text_serializer
        else:
            is_text = is_text_serializer(serializer)
        try:
            if is_text:
                payload = payload.decode('utf-8')
            return serializer.loads(payload)
        except Exception as e:
            raise BadPayload('Could not load the payload because an '
                'exception occurred on unserializing the data',
                original_error=e)



先看header = Serializer.load_payload(self, json_header, serializer=json)

json_header就是"{‘alg’: 'HS256', 'iat': 当前时间, 'exp': 过期时间}"

所以函数返回的就是字典字符串 json.loads后得到的字典 , header = {‘alg’: 'HS256', 'iat': 当前时间, 'exp': 过期时间}


再看payload = Serializer.load_payload(self, json_payload)

json_payload就是"{'confirm': 23}"

所以函数返回的就是字典字符串json.loads后的到的字典, payload ={'confirm': 23}


结论:header = {‘alg’: 'HS256', 'iat': 当前时间, 'exp': 过期时间}    payload ={'confirm': 23}


然后我们回到JSONWebSignatureSerializer的loads函数:

    def loads(self, s, salt=None, return_header=False):
        """Reverse of :meth:`dumps`. If requested via `return_header` it will
        return a tuple of payload and header.
        """
        payload, header = self.load_payload(
            self.make_signer(salt, self.algorithm).unsign(want_bytes(s)),
            return_header=True)
        if header.get('alg') != self.algorithm_name:
            raise BadHeader('Algorithm mismatch', header=header,
                            payload=payload)
        if return_header:
            return payload, header
        return payload

现在header和payload都有了, 返回payload和header到子类TimedJSONWebSignatureSerializer的loads函数: 

    def loads(self, s, salt=None, return_header=False):
        payload, header = JSONWebSignatureSerializer.loads(
            self, s, salt, return_header=True)

        if 'exp' not in header:
            raise BadSignature('Missing expiry date', payload=payload)

        if not (isinstance(header['exp'], number_types)
                and header['exp'] > 0):
            raise BadSignature('expiry date is not an IntDate',
                               payload=payload)

        if header['exp'] < self.now():
            raise SignatureExpired('Signature expired', payload=payload,
                                   date_signed=self.get_issue_date(header))

        if return_header:
            return payload, header
        return payload

返回payload,{'confirm': 23}, 所以data = s.loads(token), data的值就是{'confirm': 23}!!!!!!!

现在问题来了, 怎么从token到data绕了这么大一圈???


我猜主要是为了防止有人伪造token, 所以重点还是在app.config['SECRECT_KEY']和id, 下次再分析吧...看代码看的心累大笑




   


         







sjk1996
关注
专栏目录
python中的json.loads_Python中使用json.loads解码字符串时出错:
weixin_39899691的博客
01-29 1747
1.报错信息:File "C:\Users\lenovo\Desktop\client.py", line 90, in callbackret = json.loads(response.text)File "C:\Users\lenovo\AppData\Local\Programs\Python\Python36\lib\json\__init__.py", line 354, in loa...
python flask 令牌token原理及代码实现
w1054230914的博客
02-03 1506
python flask 令牌token原理及代码实现
Flask Web开发》书中一处错误
太午的作业本
05-28 1309
今天看《Flask Web开发》一书,在看到第8章,P91页时,方法 generate_confirmation_token(self, expiration=3600) 报错,错误内容为 unsupported operand type(s) for +: 'int' and 'str'。经调试,发现问题出在 itsdangerous 库中的方法 def want_bytes
使用itsdangerous生成确认令牌
sinat_34927324的博客
10-28 4287
首先我们来看生成令牌和解码令牌的代码: from itsdangerous import TimedJSONWebSignatureSerializer as Serializer     s = Serializer(app.config['SECRET_KEY'], expires_in=3600)     token = s.dumps({'confirm': 23})
python flask 响应的data, code, headers三种设置方式
qq_17328759的博客
09-28 9216
  过多次的测试,发现接口函数的返回值一定会经过 flask_restful.Api.make_response 处理后, 通过 flask.Flask 对象返回给调用方。 分享三种响应体 响应头 状态码的设置方式: 无论那种方式,参数顺序传递顺序依次为:响应体, 状态码, 响应头。 接口函数直接返回。文件上传接口的示例:import os from flask import request from flask_restful import Resource class UploadApi(Res
使用Flask-Login实现token验证和超时失效使用体会
热门推荐
C~C的小世界
09-17 1万+
使用Flask-Login实现token验证和超时失效
python token_Python实现JWT(JSON Web Token)认证
weixin_39554172的博客
11-24 679
作者介绍张龙(zero),一线运维老鸟。致力于LINUX/PYTHON/开源技术研究。常见认证方法首先要明白,认证和授权是不同的。认证是判定用户的合法性,授权是判定用户的权限级别是否可执行后续操作。这里所讲的仅含认证。basic认证这是http协议中所带带基本认证,是一种简单为上的认证方式。原理是在每个请求的header中添加用户名和密码的字符串(格式为“username:password”,用b...
python中eval()和json.loads()、json.dumps()和str()的使用
u011316694的博客
03-03 2345
1、eval()和json.loads() eval():把字符串数据类型转换成原本数据类型 json.loads():把json化的字符串转换成对应的python对象(诸如dict/list/tuple/string等数据结构)(解码) 例如:字符串中的数据是个列表,eval()转换后,数据类型即为列表 str='[1,2,3,4,5,6]' eval_dict=eval(str) print(eval_dict,type(eval_dict)) 输出结果: [1, 2, 3
python flask token_Flask 用户名密码登录获取token
weixin_35981962的博客
01-15 2156
#简单的用户名密码登录获取token的方式importloggingfromflaskimportFlask,request,g,make_response,jsonifyfromflask_httpauthimportHTTPBasicAuth,HTTPTokenAuthfromitsdangerousimportTimedJSONWebSignatureSeri...
request python 服务器主动发起的信息_微信小程序Python flask发送订阅消息(服务器使用urllib发送post请求),pythonflask,服务端,发起...
最新发布
05-14
要在Python Flask中实现服务器主动发送订阅消息,可以使用Python的requests库发送POST请求。下面是一个简单的例子: ```python import requests import json app_id = 'your_app_id' # 你的小程序appid app_secret...
dajngo_itsdjangerous_itsdangerous.exc.BadSignature: Signature b"XXXXX'" does not match
jss19940414的博客
03-12 478
问题描述: 编写注册页面时,在用户注册邮箱中点击链接进行注册确认,但是在邮箱超链接点击后报错,如下: itsdangerous.exc.BadSignature: Signature b"GGwbVva0BvK3k9FYiUMgLgInM_WPtv4fG2asDCfibgquMXt3ISNUgXMKMKoS6uWHMSAZLifPd7kqEwcNrT0iIA'" does not match ...
Django-加密签名
adminwg的博客
10-02 1247
Django-加密签名 web应用程序安全的黄金法则是永远不要信任来自不可信来源的数据。有时,通过不受信任的介质传递数据会很有用。加密签名的值可以通过不受信任的通道安全传递,只要知道将检测到任何篡改。 Django既提供了用于签名值的低级API,也提供了用于设置和读取签名Cookie的高级API,这是web应用程序中最常见的签名用途之一。
Python flasktoken相关知识及HTTPBasicAuth的使用
Null的博客
02-14 6007
目录 1、网站的用户登录流程: 2、API的用户流程: 3、token令牌的三个基本特征 4、代码实现 5、令牌的使用思路 6、编写验证token的装饰器 7、使用HTTPBasicAuth的方式发送账号密码 8、通过HTTPBasicAuth的方式发送token 9、验证token 验证token是否合法: 验证令牌是否过期: 读取令牌信息: 10、关于8和9的代码总览...
Serializer序列化器使用
weixin_40226313的博客
06-27 5645
定义Serializer1. 定义方法Django REST framework中的Serializer使用类来定义,须继承自rest_framework.serializers.Serializer。例如,我们已有了一个数据库模型类BookInfoclass BookInfo(models.Model): btitle = models.CharField(max_length=20, ...
python的模块itsdangerous
weixin_33924312的博客
09-04 381
这个模块主要用来签名和序列化 使用场景: 一、给字符串添加签名:   发送方和接收方拥有相同的密钥--"secret-key",发送方使用密钥对发送内容进行签名,接收方使用相同的密钥对接收到的内容进行验证,看是否是发送方发送的内容 1 &gt;&gt;&gt; from itsdangerous import Signer 2 &gt;&gt;&gt; s = Signer('secret-...
django ---TimedJSONWebSignatureSerializer加密解密的分析使用
一夜奈何梁山
10-02 1326
通过测试发现,对于TimedJSONWebSignatureSerializer的加密算法会将字典类型加密,加密后的格式是字节类型。但是对于他的解密算法确实,能够将字符串或者字节类型的加密数据,都解密成字典类型。 from itsdangerous import TimedJSONWebSignatureSerializer as Serializer from django.conf import settings # 生成一个序列化对象(加密秘钥,加密时间5秒) serializer = Seria
JSON Web Signature
Sheldon74的博客
02-24 1620
       SON Web签名(JWS)表示用数字保护的内容使用基于JSON的签名或消息认证代码(MAC) 数据结构。加密算法和标识符的使用这个规范在单独的JSON Web中进行了描述算法(JWA)规范和由其定义的IANA注册表规范。在相关的加密功能中有描述单独的JSON Web加密(JWE)规范。      JSON Web签名(JWS)是使用JSON数据结构表示签名内容的一种方法。相关的加密...
flask踩坑记
weixin_43959953的博客
01-11 1076
flask踩坑记 flask用来搭建项目框架,可以进行发开不仅仅是网页,这里完全可以进行基于内网的平台开发,凡是具有交互性质的都可以用flask进行开发 flask框架坑 flask与django在使用python开发的时候最最最重要的区别就在于,我擦,视图文件,模型文件,入口文件,form表单文件,配置文件,初始化文件,都是自己搭建自己写… 已经呕血一斗,第一次撸flask一脸懵逼,根本不知道为...
第四章 FBV视图
weixin_44679200的博客
10-23 274
第四章 FBV视图 FBV(function base views):在视图里定义函数 4.1设置响应方式 4.1.1返回响应内容 from django.http import HttpResponse from django.shortcuts import render # Create your views here. def index(request): value='a test' print(value) return render(request,'index.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值