python flask 令牌token原理及代码实现

已于 2023-02-03 17:32:52 修改
阅读量1.4k 收藏 6
点赞数
分类专栏: python 文章标签: python flask 服务器 web安全
于 2023-02-03 16:54:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1054230914/article/details/128871553
版权

令牌认证 token

觉得废话多,可以直接看代码
代码参考:http://t.csdn.cn/Sf8km

令牌token解决了什么问题

解决http请求无状态的特性,让每次请求都有状态,知道请求是哪个用户发来的

首先要知道,http请求是无状态的
也就是说,即使是同一个人发送的两次请求,服务器也是不知道是同一个人过来访问的。
所以想让服务器知道请求的用户是谁,就需要用到token令牌技术了

等于是强行在http请求里面加了一个状态

理解

古代令牌是起什么作用的呢
1.制作令牌的技术,只有皇帝才会制作,其他人无法假冒
2.令牌代表某个人,见令牌如见人

其实接口的令牌技术,跟古代令牌的概念是一样的
1.令牌token只有web服务器可以制作,其他人无法假冒
2.令牌中存储用户的信息,服务器解密token后就知道这个令牌是哪个用户的令牌

原理

1.每次登录成功后,服务器把当前的用户id加密,就生成一个令牌,返回给客户
2.客户每次带着令牌去访问,服务器检验令牌,就能拿出里面的用户id,就知道是哪个用户访问的了

需要注意的是,生成令牌的操作,是只能服务器生成并解密的,如果其他人知道你的令牌生成和解密,就可以伪造token了

问题

思考一下现在的策略,是否可以满足单点登录功能

即使同时有三个不同的人,先后登录,拿到令牌,然后去访问,服务器也是不知道的
因为令牌里面存储的信息,只有用户的id,服务器也是根据用户id去判断令牌是否有效
而且用户id,是不能改变的,一个用户id,可能关联了其他的数据

解决办法1

1.数据库新加字段,登录时间戳
2.用户每次登录,都更新一下登录时间戳
3.在加密的token里面,再加一个登录时间戳字段,记录用户当前记录的登录时间戳
4.用户发来请求,检查令牌里面的登录时间戳是否和数据库一致,如果不一致,说明有其他人登录过,返回令牌失效

解决办法2

1.数据库新加字段,token
2.用户每次登录,都生成一个uuid,记录在用户数据库的token字段(uuid不会重复)
3.在加密的token令牌里面,把用户id替换成数据库的token字段
4.用户发来请求,检查令牌里面的token字段,去数据库查找,就找到了用户,如果没有找到,说明token已经被更新了,返回令牌失效

代码

python中,有三种生成令牌的方式

1.pyjwt
import jwt  
  
# 生成令牌的秘钥  
secret_key = "aixlti5oa#xh8untx"  
  
# 生成令牌  
def create_token(data, key):  
    return jwt.encode(data, key, algorithm=
最低0.47元/天 解锁文章
高冷的王哈哈
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python flask token_Flask 用户名密码登录获取token
weixin_35981962的博客
01-15 2118
#简单的用户名密码登录获取token的方式importloggingfromflaskimportFlask,request,g,make_response,jsonifyfromflask_httpauthimportHTTPBasicAuth,HTTPTokenAuthfromitsdangerousimportTimedJSONWebSignatureSeri...
Python接口自动化 —— token登录(详解)_token接口
最新发布
m0_60749700的博客
04-26 412
Token是服务端端生成的一串字符串,作为客户端进行请求时辨别客户身份的的一个令牌。当用户第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。2、使用Token的目的:Token的目的是为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
apipost获取token后不能使用token报错code:401,令牌不能为空
guziqian123456的博客
04-08 1万+
1.获取token 设置环境变量添加url,然后引用一下 然后设置后执行脚本:apt.variables.set("token",response.json.data.access_token); 当我在header中设置token的时候,报错401,令牌不能为空 然后我将token放在认证中就可以了,然后就解决了token使用不了的问题 ...
Python接口自动化之Token详解及应用
07-27 8453
在上一篇Python接口自动化测试系列文章:Python接口自动化之cookie、session应用,介绍了cookie、session原理及在自动化过程中如何利用cookie、session保持会话状态。 以下介绍Token原理及在自动化中的应用。 一、Token基本概念及原理 1、Token作用 为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 2、什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次...
Python接口自动化之带参数请求cookies和session和token处理方法
qq_40207262的博客
04-10 2537
接口登录鉴权参数的处理方法
Flask中基于Token的身份认证
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
02-18 2435
Flask提供了多种身份认证方式,其中基于Token的身份认证是其中一种常用方式。基于Token的身份认证通常是在用户登录之后,为用户生成一个Token,然后在每次请求时用户将该Token作为请求头部中的一个参数进行传递,服务器端在接收到请求后验证该Token是否有效。
Flask框架 CSRF 保护实现方法详解
01-02
本文实例讲述了Flask框架 CSRF 保护实现方法。分享给大家供大家参考,具体如下: Flask CSRF 保护 为什么需要 CSRF? 具体操作步骤 实现 后端书写 在表单添加保护 自定义错误响应和关闭保护 ajax提交数据 ...
PythonFlask框架中验证注册用户的Email的方法
09-21
`verify_token`函数需要实现,从令牌中提取Email并检查用户是否存在并未验证。 最后,确保在用户尝试访问需要验证的页面时进行检查。例如,你可以在`before_request`处理器中检查用户是否已验证: ```python @app....
flask-jwtlogin:flask扩展以处理API中的用户登录
05-02
generate_jwt func获取加密了用户标识符的令牌 load_user用于使用回调函数从请求中手动加载用户 current_user代理 如何使用它? flask-jwtlogin可以简单地通过pip安装: pip install flask-jwtlogin 首先,您...
jwt:Flask JWT示例
04-19
是使用特定数据结构(header、payload、signature)包含信息(如请求客户端的用户和权限信息)、特定算法(加密)、特定格式(json)形成的 web 服务认证令牌【组成】。当用户使用用户名密码登录后,由服务器颁发...
flasktoken验证显示“can not import TimedJSONWebSignatureSerializer from itsdangerous,取巧解决
yequn1997的博客
03-08 3061
首先itsdangerous包是已经安装的,在models已导入from itsdangerous import TimedJSONWebSignatureSerializer as Serializer 点入itsdangerous发现是从jws.py导入TimedJSONWebSignatureSerializer,from .jws import TimedJSONWebSignatureSerializer 以下为jws.py文件 `import hashlib import time impor.
天天生鲜(Django4.0版本) + 开发遇到的问题及解决
weixin_46739549的博客
06-09 6985
天天生鲜(Django4.0版本)
Python flasktoken相关知识及HTTPBasicAuth的使用
Null的博客
02-14 5916
目录 1、网站的用户登录流程: 2、API的用户流程: 3、token令牌的三个基本特征 4、代码实现 5、令牌的使用思路 6、编写验证token的装饰器 7、使用HTTPBasicAuth的方式发送账号密码 8、通过HTTPBasicAuth的方式发送token 9、验证token 验证token是否合法: 验证令牌是否过期: 读取令牌信息: 10、关于8和9的代码总览...
Flask教程笔记-CSRF token保护验证
pyphrb的博客
07-21 8407
Flask教程笔记-CSRF token保护验证#! coding=utf8 from flask import Flask, render_template from flask_sqlalchemy import SQLAlchemy from flask_bootstrap import Bootstrap from flask_wtf.csrf import CsrfProtect #导入C
JWT认证方案与禁用令牌策略
weixin_44070137的博客
02-02 553
认证方案 1.1 jwt 对比状态保持机制 APP不支持状态保持 状态保持有同源策略, 无法跨服务器传递 不可逆加密 md5 sha1 sha256 主要用于数据认证, 防止数据被修改 消息摘要 MD 通过哈希算法将任意长度内容转为定长内容, 且相同内容的哈希值始终相同, 不同内容的哈希值不同(极小概率出现碰撞) 由于其唯一性, 一般将数据的哈...
token的介绍和用python 生成token的几种方法
热门推荐
wjb8866的博客
12-14 2万+
 基本概念 Token 的中文意思是“令牌”。主要用来身份验证。 Facebook,Twitter,Google+,Github 等大型网站都在使用。比起传统的身份验证方法,Token 有扩展性强,安全性高的特点,非常适合用在 Web 应用或者移动应用上。 验证方法 使用基于 Token 的身份验证方法,在服务端
flask实现token验证
Liubingzhe
01-02 3965
NOT_CHECK_URL=['/login'] @app.before_request def is_login(): if request.path not in NOT_CHECK_URL: loginkey=request.args.getlist('key') if loginkey[0]=='allow_code': pass else: return jsonify({'msg'
python token 访问控制_python 数据加密以及生成tokentoken验证
weixin_39722946的博客
11-29 429
#-*- coding: utf-8 -*-from passlib.apps importcustom_app_context as pwd_contextimportconfigimportMySQLdb,datetimefrom itsdangerous importTimedJSONWebSignatureSerializer as Serializer, BadSignature, Si...
python 前端 和后端登录界面实现调试 代码
04-24
我可以向您提供一些指导,但首先需要明确一点,Python是一种后端编程语言,它通常用于处理服务器端逻辑和与数据库交互等任务。因此,在Python中,前端和后端的界面实现通常需要与其他前端技术(如HTML、CSS和JavaScript)和Web框架(如Flask或Django)结合使用。 有关Python实现前端和后端登录界面的调试代码,您可以尝试以下步骤: 1. 在后端编写处理用户登录请求的Python代码,您可以使用任何Web框架,例如Flask或Django。您需要实现逻辑以接收用户提交的登录表单数据并将其与存储用户凭据的数据库中的数据进行比较。如果匹配成功,您可以在后端创建并返回一个认证令牌。这个令牌将用于保持用户的身份验证状态,并且将在前端每个请求中发送到后端以获得受保护的资源。 例如,以下是使用Flask框架实现的后端Python代码示例: ``` from flask import Flask, request, jsonify from werkzeug.security import generate_password_hash, check_password_hash app = Flask(__name__) # This is a demo implementation, you should use a more secure way to store users' credentials USERS = { 'admin': generate_password_hash('password'), 'user': generate_password_hash('secret') } @app.route('/login', methods=['POST']) def login(): username = request.json.get('username') password = request.json.get('password') if not username or not password: return jsonify({'message': 'Username or password cannot be empty'}), 401 if username not in USERS or not check_password_hash(USERS[username], password): return jsonify({'message': 'Invalid username or password'}), 401 # Generate an authentication token token = 'your-authentication-token' return jsonify({'token': token}) if __name__ == '__main__': app.run(debug=True) ``` 2. 在前端编写一个登录表单,使用HTML、CSS和JavaScript制作,并将其与后端连接。您可以将表单提交到后端Python代码的URL地址,例如 `http://localhost:5000/login`。 例如,以下是一个简单的HTML登录表单,它使用JavaScript将数据提交到后端Python代码,并将令牌保存到浏览器的Cookie中: ``` <!DOCTYPE html> <html> <head> <title>Login</title> </head> <body> <form> <label>Username:</label> <input type="text" id="username" name="username"><br><br> <label>Password:</label> <input type="password" id="password" name="password"><br><br> <input type="button" value="Submit" onclick="login()"> </form> <script> function login() { var username = document.getElementById('username').value; var password = document.getElementById('password').value; var xhr = new XMLHttpRequest(); xhr.open('POST', 'http://localhost:5000/login'); xhr.setRequestHeader('Content-Type', 'application/json'); xhr.onreadystatechange = function() { if (xhr.readyState === XMLHttpRequest.DONE) { if (xhr.status === 200) { // Save the token to the browser's cookie document.cookie = 'token=' + JSON.parse(xhr.responseText).token; window.location.href = 'profile.html'; // Redirect to the protected page } else { alert(JSON.parse(xhr.responseText).message); } } }; xhr.send(JSON.stringify({username: username, password: password})); } </script> </body> </html> ``` 3. 在前端运行一个服务器,以在本地主机上托管前端代码。您可以使用任何Web框架,例如Express或http-server。运行前,您需要安装Node.js,并在命令行运行 `npm install express --save`(或其他您选择的Web框架)。 例如,以下是使用Express框架实现的前端JavaScript代码示例: ``` const express = require('express'); const app = express(); app.use(express.static('public')); app.listen(3000, () => { console.log('Server is running on http://localhost:3000'); }); ``` 4. 打开浏览器并导航到前端的本地主机地址,例如 `http://localhost:3000/login.html`。您应该能够看到一个登录表单,您可以使用它进行用户身份验证。如果通过身份验证,则应将重定向到受保护的页面。 请记住,这只是一个简单的示例,您应该根据自己的要求定制它,并实现安全的认证方式,例如使用JSON Web Tokens(JWTs)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值