慕课网Flask构建可扩展的RESTful API-5. Token与HTTPBasic验证 —— 用令牌来管理用户...

最新推荐文章于 2024-04-20 01:27:15 发布
最新推荐文章于 2024-04-20 01:27:15 发布
阅读量237 收藏 1
点赞数
文章标签: python
原文链接:https://juejin.im/post/5c3af7506fb9a049d05df758
版权

5.1 Token

1.Token概述

以下是网站登录和使用API登录的区别

与网站登录不同的是,网站登录将登录信息写入cookie存储在浏览器,而API只负责生成token发送给客户端,而客户端怎么存储有自己决定。

  • Token具有有效期
  • Token可以标示用户身份,如存储用户id

2.获取Token令牌

密码校验--models/user.py

@staticmethod
def verify(email, password):
user = User.query.filter_by(email=email).first()
if not user:
raise NotFound('user not found')
if not user.check_password(password):
raise AuthFailed()
return {'uid': user.id}

def check_password(self, raw):
if not self._password:
return False
return check_password_hash(self._password, raw)
复制代码

返回token的试图函数,这里稍微破坏一下REST的规则,由于登录操作密码安全性较高,使用GET的话会泄漏

@api.route('', methods=['POST'])
def get_token():
form = ClientForm(request).validate_for_api()
promise = {
ClientTypeEnum.USER_EMAIL: User.verify,
}
identity = promise[form.type.data](
form.account.data,
form.secret.data
)
expiration = current_app.config['TOKEN_EXPIRATION']
token = generator_auth_token(identity['uid'],
form.type.data,
None,
expiration=expiration)
t = {
'token': token.decode('utf-8')
}
return jsonify(t), 201


def generator_auth_token(uid, ac_type, scope=None,
expiration=7200):
"""生成令牌"""
s = Serializer(current_app.config['SECRET_KEY'],
expires_in=expiration)
return s.dumps({
'uid': uid,
'type': ac_type.value
})
复制代码

3.Token的用处

我们不可能让任何一个用户都来访问我们获取用户资料的接口,必须对这个加以控制,也就是说只有确定了身份的用户可以访问我们的接口。

如何对这个接口做保护呢?

当用户访问问的接口的时候,我们需要获取他传来的token并进行解析验证,只有token是合法的且没有过期,我们才允许访问。

由于每个需要验证token的试图函数都需要上面的业务逻辑,所以我们可以编写一个装饰器,以面向切面的方式统一处理,编写一个函数验证token,如果验证通过,我们就继续执行试图函数的方法,如果不通过,我们就返回一个自定义异常。

libs/token_auth.py

from flask_httpauth import HTTPBasicAuth

__author__ = "gaowenfeng"

auth = HTTPBasicAuth()


@auth.verify_password
def verify_password(account, password):
return False
复制代码
@api.route('/get')
@auth.login_required
def get_user():
return 'i am gwf'
复制代码

5.2 HTTPBasicAuth

1.HTTPBasicAuth基本原理

除了自定义发送账号和密码之外,HTTP这种协议本身就有多种规范,来允许我们来传递账号和密码。其中一种就是HTTPBasic

HTTPBasic:需要在HTTP请求的头部设置一个固定的键值对key=Authorization,value=basic base64(account:psd)

2.以BasicAuth方式来发送token

我们可以将token作为上面所说的账号account,而密码psd传递空值

5.3 Token的发送与验证

1.验证token

auth = HTTPBasicAuth()
User = namedtuple('User', ['uid', 'ac_type', 'scope'])

@auth.verify_password
def verify_password(token, password):
user_info = verify_auth_token(token)
if not user_info:
return False
else:
g.user = user_info

return True


def verify_auth_token(token):
s = Serializer(current_app.config['SECRET_KEY'])
try:
data = s.loads(token)
# token不合法抛出的异常
except BadSignature:
raise AuthFailed(msg='token is valid', error_code=1002)
# token过期抛出的异常
except SignatureExpired:
raise AuthFailed(msg='token is expired', error_code=1003)
uid = data['uid']
ac_type = data['type']
return User(uid, ac_type, '')
复制代码

2.视图函数的编写

@api.route('/<int:uid>', methods=['GET'])
@auth.login_required
def get_user(uid):
user = User.query.get_or_404(uid)
r = {
'nickname': user.nickname,
'email': user.email
}
return jsonify(r), 200
复制代码

3.重写后的get_or_404,抛出自定义异常

def get_or_404(self, ident):
rv = self.get(ident)
if not rv:
raise NotFound()
return rv

def first_or_404(self):
rv = self.first()
if not rv:
raise NotFound()
return rv
复制代码

4.获取令牌信息

@api.route('/secret', methods=['POST'])
def get_token_info():
"""获取令牌信息"""
form = TokenForm().validate_for_api()
s = Serializer(current_app.config['SECRET_KEY'])
try:
data = s.loads(form.token.data, return_header=True)
except SignatureExpired:
raise AuthFailed(msg='token is expired', error_code=1003)
except BadSignature:
raise AuthFailed(msg='token is invalid', error_code=1002)

r = {
'scope': data[0]['scope'],
'create_at': data[1]['iat'],
'expire_in': data[1]['exp'],
'uid': data[0]['uid']
}
return jsonify(r)
复制代码
weixin_34343308
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Token令牌入门学习一
从放弃到开始
06-01 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思. 如果觉得文章不错,对你有帮助,请作者喝杯咖啡,谢谢!如果对您有帮助 ,请多多支持.多少都是您的心意与支持,一分也是爱,再次感谢!!!打开支付宝首页搜“556723462”领红包,领到大红包的小伙伴赶紧使用哦!感谢大家的支持!您的支持,我会继续分享更多的文章,欢迎关注! (信息安全术语) Token, 令牌,代表执...
python HTTPBasicAuth和flask_login验证的区别
cxk1198的博客
04-11 6448
最近写了一个Flask-Restful框架的项目,原本用的是HTTPBasic模块的验证,后来发现这种验证框架应用在前端特别难写,于是采用了flask_loginHTTPBasic应用框架如下auth = HTTPBasicAuth()@auth.verify_password def verify_password(username_or_token, password): if user
Flask中的JWT认证构建安全的用户身份验证系统
最新发布
一键难忘的博客
04-20 2716
JWT是一种基于JSON的开放标准(RFC 7519),用于在网络应用程序之间传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。。头部(Header):包含了JWT的类型(例如,JWT)和使用的加密算法(例如,HMAC SHA256或RSA)。载荷(Payload):包含了声明,例如用户ID和角色。它也可以包含其他自定义的声明。签名(Signature):用于验证JWT的完整性,以确保未被篡改。
使用 Flask 设计 RESTful 的认证
一介北漂
09-12 1028
使用 Flask 设计 RESTful 的认证 今天我将要展示一个简单,不过很安全的方式用来保护使用 Flask 编写的 API,它是使用密码或者令牌认证的。 示例代码 本文使用的代码能够在 github 上找到: REST-auth 。 用户数据库 为了让给出的示例看起来像真实的项目,这里我将使用 Flask-SQLAlchemy 来构建用户数据库模型并且存储到
Flask--搭建OAuth2.0认证服务器(二)
似水流年
08-01 1万+
OAuth 2.0服务器例程:https://github.com/authlib/example-oauth2-server
Python flasktoken相关知识及HTTPBasicAuth的使用
Null的博客
02-14 5968
目录 1、网站的用户登录流程: 2、API用户流程: 3、token令牌的三个基本特征 4、代码实现 5、令牌的使用思路 6、编写验证token的装饰器 7、使用HTTPBasicAuth的方式发送账号密码 8、通过HTTPBasicAuth的方式发送token 9、验证token 验证token是否合法: 验证令牌是否过期: 读取令牌信息: 10、关于8和9的代码总览...
基于flask-restful开发具有TOKEN权限的朋友圈数据管理网站.zip
09-28
在本项目中,开发者使用了Flask-Restful框架来构建一个具备TOKEN权限验证的朋友圈数据管理网站。Flask-RestfulFlask的一个扩展,它使得构建RESTful API变得非常简单。RESTful架构风格强调资源的概念,通过HTTP方法...
Flask-RestAPI-jwt:具有用户身份验证Flask Rest API
04-12
具有Flask的RESTAPI,使用基于令牌的身份验证。 技术: 烧瓶 烧瓶RESTFUL-0.3.8 Flask-JWT_Extended-4.1.0 Flask-SQLAlchemy-2.4.4 基本信息: JWT代表JSON WEB TOKEN,是在两方或实体之间传输随机令牌的一种...
Python库 | Flask_Limiter-1.0.0rc1-py3.5.egg
02-21
这个库是开发者在构建Web服务时,特别是RESTful API服务,为了防止恶意用户或者机器人过度消费资源而设计的。通过限制请求频率,可以保护服务器免受DoS(拒绝服务)攻击,同时保持服务的稳定性和可用性。 Flask_...
PyPI 官网下载 | python-wink-1.10.2.tar.gz
02-01
例如,结合Web框架如Flask或Django,可以创建一个RESTful API,使得前端或者移动应用可以通过API调用来控制家中的智能设备。此外,`Python-Wink`也可以与定时任务服务如Cron集成,实现定时任务,如定时开关灯、调节...
stores-rest-api:使用Python Flask REST API来访问商品,商店和用户身份验证
03-07
总的来说,"stores-rest-api"项目展示了如何使用Python和相关的Flask扩展构建一个功能完备的RESTful API,涉及到的主要功能包括商品和商店的管理,以及用户的身份验证。开发者可以通过这个项目学习到如何设计...
慕课网Flask构建扩展RESTful API-1. 起步与红图
weixin_33877885的博客
01-15 360
1.1 初始化项目 1.一个项目的初始化流程如下: 2.新建入口文件 app/app.py from flask import Flask __author__ = "gaowenfeng" def create_app(): app = Flask(__name__) app.config.from_object('app.config.secure') app.config.from_...
python flask restful入门_Python Flask高级编程之RESTFul API前后端分离精讲
weixin_39996496的博客
11-30 531
第1章 随便聊聊聊聊Flask与Django,聊聊代码的创造性1-1 Flask VS Django1-2 课程更新维护说明第2章 起步与红图本章我们初始化项目,探讨与研究Flask的默认层级结构。当我们遇到层级结构不合理时,我们将模仿蓝图自己定义一个“红图”来扩展Flask层级体系2-1 环境、开发工具与flask1.02-2 初始化项目2-3 新建入口文件2-4 蓝图分离视图函数的缺陷2-5 ...
FLASK RESTFUL TOKEN用户验证笔记
arnolan的博客
03-28 8988
笔记1 REST要求无状态,可以理解为没有session,而且session的存储遇到分布式集群的情况就比较难搞,所以对于用户验证目前网上大多数做法是token方式,第一次登录的时候,先提交用户名密码,服务器收集到以后,先验证一下,如果验证通过了,这时候服务器端基于用户名、密码、当前时间戳等内容,用md5或者des或者aes等加密方式,生成一个token值,然后把token值存放到redis里面,...
由于AddressFilter在EndpointDispatcher不匹配,To 为“http://*/*”的消息无法在接收方处理。请检查发送方和接收方的 EndpointAddresses 是否一致
热门推荐
xiaoyiyz的专栏
03-18 1万+
最近在做Android调用WCF服务的APP,WCF提供了RESTful风格的服务供移动端调用,相对于KSOAP2来说比较简洁方便,。 在用浏览器测试REST服务的时候提示错误信息: 由于 AddressFilter 在 EndpointDispatcher 不匹配,To 为“http://localhost:8006/rest/DoWork”的消息无法在接收方处理。请检查发送方和接收方的 E
接口开发规范(RESTful api)和token令牌),md5使用
weixin_58139900的博客
12-19 2554
目录 优点: 常用方法规范 路由如何定义 根据RESTful 进行接口开发 接口文档组成 Token使用 什么是JWT? 【了解】 token的使用规则 本地客户端(浏览器是常见客户之一 )存储技术有三种:【重点】 使用步骤 uuid和md5 API: API(Application Programming Interface,应用程序接口)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 RESTful规范,是目前一种比较流行的互联网软件设计规.
Flask-basic
ls_ange的博客
10-13 194
Python-Flash-Basic 安装Flask pip install Flask 这些发行版将在安装Flask时自动安装。 1. Werkzeug实现了WSGI,这是应用程序和服务器之间的标准Python接口。 2. Jinja是一种模板语言,可呈现应用程序服务的页面。 3. MarkupSafe带有Jinja。它在渲染模板时逃避不可信的输入以避免注入攻击。 4. 它的危险性可靠地标...
flask框架,RESTful API的请求及返回参数探索
jeff2031的博客
04-28 7494
先提一下RESTful API设计原则GET 用来获取资源POST 用来新建资源(也可以用于更新资源)PUT 用来更新资源DELETE 用来删除资源在一个注册到RESTful API的对象中,可以通过特定的成员函数来匹配对应的http请求方法,代码如下:class User(Resource): def get(self): result = [1,2,3,4]      ...
flask给前端的接口文档内容有那些?
07-13
5. 接口认证和权限:如果有认证和权限控制,文档会提供相关的说明,如使用令牌token)进行认证、访问权限等。 6. 示例代码:为了方便使用者理解和调用接口,接口文档通常提供示例代码,展示如何发送请求和解析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值