身份认证之token

最新推荐文章于 2024-08-26 12:09:31 发布
最新推荐文章于 2024-08-26 12:09:31 发布
阅读量176 收藏
点赞数
文章标签: json python
原文链接:https://my.oschina.net/kyle960/blog/1785729
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

当用户提起http请求的时候,需要做身份认证。不可能每次提起http请求都发送用户名和密码,这不现实也不安全。这时,token就派上了用场。

用户在登录时提交用户名和密码进行认证。认证通过,服务器就给用户下发一个token。在以后的每次请求中,用户提交这个token给服务器验证自己的身份,而不是用户名和密码。

JSON Web Token(JWT)是一个轻巧的规范。在浏览器访问中,结合Cookie使用。下面是自定义的,简化的token实现。

产生token的过程:

    1.生成json信息,包含用户名和token的过期时间
    2.把json进行base64编码
    3.根据用户名查找对应的key,对json的base64编码计算hash值
    4.把hash值进行base64编码
    5.token由json信息和hash值组装而成

验证token的过程:

    1.分离json信息和hash值
    2.json信息中分离出用户名,用于查找对应的key
    3.用key重新计算hash值,与token中的hash值进行比较
    4.判断是否过期,当前时间与token过期时间比较
    5.如果两个判断都通过,则token验证通过

用户名对应的key存储在服务端,不会在网络上传输。攻击者无法获取key,也就无法伪造token。用户提交token以验证自己的身份。

以下是python实现:

import hmac
import time
import base64
import json

TOKEN_SPLIT = '.'
KEY_ID = 'id'
KEY_EXP = 'exp'
INDEX_INFO = 0
INDEX_HASH = 1


def genToken(keyList, name):
    info = {KEY_ID:name, KEY_EXP:time.time() + 36000}
    infoJson = json.dumps(info, ensure_ascii=False, encoding='utf-8')
    infoCode = base64.urlsafe_b64encode(infoJson)
    encrypt = hmac.new(keyList[name])
    encrypt.update(infoCode)
    hashHex = encrypt.hexdigest()
    hashCode = base64.urlsafe_b64encode(hashHex)
    token = infoCode + TOKEN_SPLIT + hashCode
    return token


def verifyToken(keyList, token):
    token = token.split('.')
    infoCode = token[INDEX_INFO]
    infoJson = base64.urlsafe_b64decode(infoCode).decode('utf-8')
    info = json.loads(infoJson, encoding='utf-8')
    name = info[KEY_ID]
    expTime = info[KEY_EXP]
    encrypt = hmac.new(keyList[name])
    encrypt.update(infoCode)
    hashHex = encrypt.hexdigest()
    hashCode = base64.urlsafe_b64encode(hashHex)
    return token[INDEX_HASH] == hashCode and time.time() < expTime


if __name__ == "__main__":
    keyList = {'id123':'asdb', 'id456':'asdfsfs'}
    token = genToken(keyList, 'id456')
    print(token)
    verify = verifyToken(keyList, token)
    print(verify)

 

转载于:https://my.oschina.net/kyle960/blog/1785729

weixin_34175509
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Token身份认证
Maxwell_7
02-26 5506
Token是什么 用户的数据安全性很重要,而http又是一种没有状态的协议,并不能区分访问者。这就需要做用户验证,用户输入账号和密码之后,需要把用户的登录信息记录下来,防止访问下一个页面的时候需要重新验证。传统的处理方法是,借助与Session机制,当用户登录之后,服务端生成一个记录,这个记录用来标记用户,然后发送给客户端,客户端将这个标记存储在Cookie里面,当客户端发起下一次请求的时候,会...
页面用户身份验证
AndrewShuBao的专栏
12-27 800
首先:webconfig中配置好   配置完成后 页面布局(略) Login.aspx.cs中验证处理过程 如果登陆验证成功执行下面的语句 FormsAuthentication.SetAuthCookie("你想传递的信息", false); Response.Redirect("~/Default.aspx"); 如果登陆验证失败可以不作
RTSP拉流协议/RTMP推流协议/国标GB28181协议/海康SDK流媒体服务器Easy系列视频平台中token机制全解
TSINGSEE青犀视频官方技术博客
09-02 1211
了解TSINGSEE青犀视频产品的小伙伴都知道,Easy系列的视频平台都采用了token机制,由于很多用户不明白token在平台中发挥的作用,我们特地整合了一篇关于token机制的全说明,详细介绍了token以及使用方法。 一、关于Easy系列平台中token的机制说明 1、Token的引入 Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义 Token
ostringstream的用法(转载)
bobkent的专栏
12-15 706
ostringstream的用法 【本文来自】http://www.builder.com.cn/2003/0304/83250.shtml http://www.cppblog.com/alantop/archive/2007/07/10/27823.html 使用stringstream对象简化类型转换 C++标准库中的提供了比ANSI C的#include <string> #incl
浅谈token认证
weixin_43887870的博客
05-19 5615
Token 使用token一般的身份验证流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据 Jwt就是一个token的具体实现方式,即:JSON Web
基于Token的身份验证的方法
10-18
5. 服务器接收到请求后,验证Token的有效性,如果有效,则返回请求的数据。 Token验证的一个常见标准是JSON Web Token (JWT)。JWT由三部分组成:Header、Payload和Signature,用点分隔并Base64编码。Header通常包含...
JAVA中的Token 基于Token的身份验证实例
08-24
JAVA中的Token基于Token的身份验证实例 本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
thinkphp5框架API token身份验证功能示例
10-16
服务器接收到请求后,会验证Token的有效性,如果有效则允许请求继续,否则拒绝请求。 在ThinkPHP5中,我们可以通过以下步骤实现Token身份验证: 1. **生成Token**: - `create_token` 函数是用于生成Token的。在...
jQury Ajax使用Token验证身份实例代码
08-29
jQury Ajax 使用 Token 验证身份实例代码 jQury Ajax 使用 Token 验证身份实例代码是指在使用 jQuery 的 Ajax 功能时,如何使用 Token 验证身份,以确保数据的安全性。本文将详细介绍该实例代码的实现细节。 一、...
asp.net webapi2 基于token令牌的身份验证
03-27
对于JWT,我们可以使用如`System.IdentityModel.Tokens.Jwt`库来生成和验证Token。JWT包含三部分:Header、Payload和Signature。Payload可以存储用户信息,而Signature用于验证Token未被篡改。 总的来说,ASP.NET ...
编写一个用户注册信息填写验证程序,注册信息包括用户名、密码、EMAIL地址、联系电话。要求验证联系电话中只能输入数字,EMAIL地址中需要包括“@”符号,密码域不少于6位。要求联系电话在输入过程中保证不能有非数字,而其他两个域在点击注册按钮时再进行数据检查。
06-06
编写一个用户注册信息填写验证程序,注册信息包括用户名、密码、EMAIL地址、联系电话。要求验证联系电话中只能输入数字,EMAIL地址中需要包括“@”符号,密码域不少于6位。要求联系电话在输入过程中保证不能有非数字,而其他两个域在点击注册按钮时再进行数据检查。
android基于linphone实现视频通话小结
09-25
android基于linphone实现视频通话小结
string,token,字符串分割,分隔符
virusplayer的专栏
11-16 6297
class StringToken    ...{        //数据        private string data;          //分隔符        private string delimiter;        private string[] tokens;        private int index;        public StringToken(
token机制完成登录状态保持/身份认证
weixin_30767921的博客
11-22 657
一般APP都是刚安装后,第一次启动时需要登录(提示你需要登录或者直接启动在登录界面)。而只要登录成功后,以后每次启动时都是登录状态,不需要每次启动时再次登录。不过,也有些APP若你长期未启动,再次启动时,它会提示你登录过期,让你重新登录。这个是怎么实现的?APP是怎么保持登录状态的? 之所以突然写这个话题,是因为昨晚无意间刷知乎刷到了这个问题iOS系统如何实现app登录类似微信只需...
[Linphone Android] 登录实现
Kandy
01-25 4183
Linphone的登录并非直接调用LinphoneCore的addAuthInfo就可以,而是需要做一些配置的设定。
用户身份验证的令牌—Token教程
种麦南山下的博客
12-01 2896
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
Cas使用问题汇总
chengbowen00的专栏
02-12 370
1、使用Cas必须使用SSL协议,因此需要使用到证书,并且使用Tomcat做服务器时需要在conf/server.xml中放开8443端口的connector节点。 即: [code="java"][/code] 配置证书路径和密码后其中一台机器就可以正常启动tomcat(版本为6.0.14)了,但是另外一台tomcat(版本为6.0.37)报“No Certificate file sp...
uni-cli 编译和打包并自动打开微信开发者工具
最新发布
weixin_41104307的博客
08-26 283
需求:平时使用uni-cli开发,是为了获得vscode更好的提到提示以及其他的便捷工具以及提升效率;带有一个缺点,那便是 uni-cli 编译之后,你需要手动打开 微信开发者工具,找到项目下的 dist/dev/mp-weixin 或者 dist/build/mp-weixin。这可能需要花费你几秒中的时间,粗看没啥,细算就很浪费。特别是打完包,还要关闭之前的dev项目,找到build项目 发包;这有的还费 预计10秒 -- 因此,作为懒人的我,决定去偷个懒。
登录验证之token
07-27
Token是一种用于身份验证的令牌,它在登录验证过程中起到了重要的作用。在登录时,服务器会对用户输入的账号密码进行验证,如果验证通过,服务器会创建一个token并将其发送给客户端。客户端会将token保存起来,并在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值