上节我们介绍了基于http的认证, 由于客户端每次发出请求时都要发送密令, 为了避免老是发送敏感信息, 我们可以提供一种基于令牌的认证方案。
一. 修改app/models.py
class User(db.Model):
#生成认证令牌
def generate_auth_token(self, expiration):
s = Serializer(current_app.config['SECRET_KEY'], expires_in=expiration)
return s.dumps({'id': self.id})
#验证认证令牌, 如果令牌可用就返回对应的用户
@staticmethod
def verify_auth_token(self, token):
s = Serializer(current_app.config['SECRET_KEY'])
try:
data = s.loads()
except:
return None
return User.query.get(data['id'])
二. 修改app/api_1_0/authentication.py
@auth.verify_password
def verify_password(email_or_token, password):
#如果填的是token字符串
if password = '':
g.current_user = User.verify_auth_token(email_or_token)
g.token_userd = True
return g.current_user is not None
#如果填的是email和密码
user = User.query.filter_by(email=email_or_token).first()
if not user:
return False
g.current_user = user
g.token_used = False
return user.verify_password(password)
代码分析:
用户访问api蓝本注册的路由时, 首先会访问@api.before_request修饰器修饰的before_request函数, 而before_request函数被修饰器@auth.login_required修饰, 所以会触发auth.verify_password认证, 就会弹出类似下面的对话框要求用户填写认证信息:
如果我们填写的是token字符串, 那么密码栏为空, verify_password函数验证token, 并返回结果;
如果我们填写的是email和password, 那么verify_password函数验证email和密码, 并返回结果;
这里我们用g.token_used变量来让视图函数区分这两种认证方法。
因此认证函数的作用就是, 认证所有访问 api蓝本注册的路由 的用户, 如果认证通过g.current_user存储认证通过的用户, 并访问路由, 认证失败则无法访问路由。
三. 修改app/api_1_0/authentication.py
@api.route('/token')
def get_token():
if g.token_used:
return unauthorized('Invalid credentials')
return jsonify({'token': g.current_user.generate_auth_token(expiration=3600), 'expiration': 3600}
代码分析:
如果用户访问该路由获取token, 认证通过时, g.current_user会存储认证通过的用户, 然后访问该路由, 返回由该用户id生成的token字符串, g.token_used的if判断是为了防止使用旧token生成新token。
四。 效果演示
1)访问生成token的路由
2)填写用户名密码进行认证
3)认证成功,视图函数返回生成的token字符串
4)下次访问api注册的路由时就可以填写token字符串
5)如果我们试图用旧token生成新token
6)返回错误