python token_前后端分离token介绍以及自写的token校验机制

最新推荐文章于 2023-03-25 21:12:26 发布
最新推荐文章于 2023-03-25 21:12:26 发布
阅读量538 收藏
点赞数
文章标签: python token

前后端分离后,如果客户端使用的原生应用(iOS,安卓),我们就无法使用cookie和session机制,所以我们使用另一套方案token

token机制:

1.在前端对后端进行访问时,后端生成一个用base64加密的token串(包含个人信息过期时间和签名)返还给前端。

2.前端第接收到token并储存在前端。

3.前端再次访问是request请求携带token串 (一般放在http的请求头里面)

4.后端接收到请求后解析前端传来的token值,因为里面有之前加密的签名,所以把签名再生成一次,和前端传来的签名进行比对,如果相同,说明前端传来的token值没有问题。如果不相同,说明前端有问题

优点:后端不用占用空间存储,直接计算出token进行返回

JWT json-web-token(方案)

三大组成:

header:{‘alg’:‘HS256’, ‘typ’:‘JWT’} #用来指定算法和类别,最终需要将这部分转化成json字符串并用base64进行加密

payload:添加共有声明,私有声明

公有声明:常见的问题比如过期时间、签发者、创建时间等

私有声明:根据自己的业务需求,自定义

私有声明在调用JWT时以字典参数的方式传进去,最终将公有声明和私有声明合并在一个字典内。

签名:

将传入的key值和加密的header和加密的payload三者进行hmac-SHA256算法加密,

加密后的值用base64再进行一次加密,生成签名

最终将加密后的header 和payload 和签名用.隔开返回一个token串

代码层面:

```python

import json

import time

import copy

import hmac

import base64

class my_jwt:

def __init__(self):

pass

@staticmethod

def b64encode(content):

#return base64.urlsafe_b64encode(content).split(b'=',b'')

return base64.urlsafe_b64encode(content).replace(b'=', b'')

@staticmethod

def b64decode(b):

mec = len(b) % 4

if mec > 0:

b += b'=' * (4-mec)

return base64.urlsafe_b64decode(b)

@staticmethod

def encode(payload,key,exp=300):

header = {'typ':'JWT','alg':'HS256'}

header_js = json.dumps(header,sort_keys=True,separators=(',',':'))

header_bs = my_jwt.b64encode(header_js.encode())

payload_self = copy.deepcopy(payload)

if not isinstance(exp,str) and not isinstance(exp,int):

raise TypeError('not be str or int!')

payload_self['exp'] = time.time() + int(exp)

payload_js = json.dumps(payload_self,sort_keys=True,separators=(',',':'))

payload_bs = my_jwt.b64encode(payload_js.encode())

if isinstance(key,str):

key = key.encode()

hm = hmac.new(key,header_bs + b'.' + payload_bs,digestmod='SHA256')

sign_bs = my_jwt.b64encode(hm.digest())

return header_bs + b'.' +payload_bs + b'.' +sign_bs

@staticmethod

def decode(token,key):

header_bs,payload_bs,sign_bs = token.split(b'.')

if isinstance(key,str):

key = key.encode()

hm = hmac.new(key,header_bs + b'.' + payload_bs,digestmod='SHA256')

si_bs = my_jwt.b64encode(hm.digest())

if sign_bs != si_bs:

raise

payload_js = my_jwt.b64decode(payload_bs)

payload = json.loads(payload_js)

if 'exp' in payload:

now = time.time()

if now > payload['exp']:

raise

return payload

if __name__ == "__main__":

token = my_jwt.encode({'username':'zhaowenhao'},'123456',300)

print(token)

print('以下是校验结果:')

print(my_jwt.decode(token,'123456'))

以上是我参看了jwt机制自己写的token方案。

python中提供的pyjwt

大体用法和我的相同,需要注意一点是它在传入公有声明和私有声明时需要在传入的参数中一同定义并传入,而我写的是函数本身就带公有声明,只需传入私有声明即可。

pyjwt演示:

jwt.encode({‘username’:‘guoxiaonao’},‘123456’)

b’eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6Imd1b3hpYW9uYW8ifQ.kgWAwfADg3M79kr0rX3GW5zrkFdpUK2Uq_9qnQ9Ub4I’

a = jwt.encode({‘username’:‘guoxiaonao’},‘123456’,algorithm=‘HS256’)

jwt.decode(a,‘123456’)

{‘username’: ‘guoxiaonao’}

weixin_39729784
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python写一个前后端分离登录页面
weixin_35755188的博客
12-19 490
好的,我来为你讲解如何用 Python 写一个前后端分离登录页面。 首先,需要明确的是,在前后端分离的应用中,前端负责处理用户界面相关的事情,后端负责处理业务逻辑相关的事情。 具体来说,前端需要负责创建登录表单,并将用户的登录信息发送到后端。后端则需要负责接收前端发送的登录信息,并验证用户的身份。 下面是一个简单的例子,展示了如何用 Python 的 Flask 框架来创建一个前后端分离登录页...
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得...
前后端分离下的token机制
TYUT__pengkai的博客
02-09 710
Django版本:2.1 Python版本:3.6 其他的Django版本和Python版本也可作参考     最近在完成项目的时候遇到了一个新的业务——使用前后端分离技术,在没有提供注册登录机制下,实现POST方法的数据传递。     在网上找了很多文章,也向前辈请教过几次,困难的一直没有解决。最后,通过查阅Dja...
python token_Python 携带Token验证API !
weixin_39605004的博客
11-20 283
很多同学在初探API时,心想单纯一个登录的接口还好不需要验证权限,可是登录后续的接口该如何执行呢,这里得先行了解 :Cookie,Session,Token的区别在我们得口述逻辑中,是用户登录后返回一个带有用户信息得cookies,token相关信息,然后后续操作会携带这带有用户信息的cookies,token一并传进服务校验身份信息是否对应,对应则运行操作得到预期相应,当携带的是过期或者错误的c...
使用token登陆、前后端分离下的用户登陆
weixin_44634704的博客
08-06 1273
基于session实现用户跟踪的方式需要服务器保存session对象,在做水平扩展增加新的服务器节点时,需要复制和同步session对象,这显然是非常麻烦的。解决这个问题有两种方案,一种是架设缓存服务器(如Redis),让多个服务器节点共享缓存服务并将session对象直接置于缓存服务器中;另一方式放弃基于session的用户跟踪,使用基于token的用户跟踪。 修改投票项目,把学科页面和老师页面做为数据接口 #在应用polls下新建serializers.py from rest_framework i
吐血总结,Python Requests库使用指南
机器学习算法与Python学习
04-18 612
源 / 代码与艺术 && 编程禅师requests 库是用来在Python中发出标准的HTTP请求。它将请求背后的复杂性抽象成一个漂亮,简单的API,以...
Django+JWT实现Token认证的实现方法
09-19
在现代Web应用中,特别是在前后端分离的架构中,API的安全认证变得至关重要。Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将...
python requests模拟登陆github的实现方法
12-23
1. Cookie 介绍 HTTP 协议是无状态的。因此,若不借助其他手段,远程的服务器就无法知道以前和客户端做了哪些通信。Cookie 就是「其他手段」之一。 Cookie 一个典型的应用场景,就是用于记录用户在网站上的登录状态...
sanic-jwt:Sanic的身份验证,JWT和权限范围
04-30
Sanic JWT Sanic JWT向添加了身份验证保护和终结。 它很容易启动和运行,并且对于开发人员来说是可扩展的。 它可以起到保护端点的作用,还可以提供身份验证作用域,所有这些都封装在一个不错的。...
Python编程之微信推送模板消息功能示例
01-20
本文实例讲述了Python微信推送模板消息功能。分享给大家供大家参考,具体如下: 官方文档:https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1445241432 具体代码如下: #!/usr/bin/env python #-*- coding...
前端token知识梳理:token如何存储?token过期如何处理?如何无感知刷新token
Harley567
08-24 4298
token如何存储?token过期如何处理?如何无感刷新token
Token原理
只为成功找方法 不为失败找借口
03-25 3667
服务端在接收到 Token 后,会先对 Token 进行拆分,然后使用相同的密钥和哈希算法计算 Token 中的数据的签名,并将其与 Token 末尾的签名串进行比较,以判断 Token 是否合法。这样,客户端就可以在以后的请求中使用新的 token。总的来说,token 认证的流程是在用户登录时获取 token,之后在 HTTP 请求头里携带 token,服务端在响应请求时对 token 进行验证并返回相应结果,同时可以在响应头中返回新的 token(用于更新之前的 token)。
Token 如何生成 简述
dujidan的博客
01-27 8441
Token 如何生成 简述 Token 值是将请求源串以及 Secret 通过 MD5 算法生成的,用来提高传输过程参数的防篡改性。 token 值的生成共有 2 个步骤:构造源串,生成 token 值。 如何成成 MD5 值 md5sum $file ...
前后端 token 的使用
ximingx
04-30 9580
前后端 token 的使用
前端Token管理(获取、过期处理、异常处理及优化)
热门推荐
赵忠洋的博客
11-22 1万+
文章内容输出来源:拉勾教育大前端高薪训练营; 本文实例代码使用的是vue+axiosÏ 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 请求后台返回的登录数据一般情况如下 { access_token:"加密的字符串", expires_in:"7200", refresh_token:.
什么是token及怎样生成token
daobuxinzi的博客
02-08 1万+
什么是token   Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。   基于 Token 的身份验证 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户
后端将token发送至前端
tyl19971224的博客
08-10 5428
1.在后端登录接口中,如果密码验证成功,则使用jwt模块生成token const token = jwt.sign(payload, secretOrKey, { expiresIn: '12h' }); 2.将token设置到响应头之中,响应给客户端 ctx.append('Token', token); 3.客户端在登录页面中,通过then获取token,再将token设置到local Storage里 const token = res.data.token localStorage.setIt
前后端分离项目,后端是如何处理前端传递的token
niceyoo的博客
03-04 1万+
前后端分离项目中,在不使用 SpringSecurity、Shiro 安全框架的情况下,后端是如何处理前段传递的 token 的呢? 简单说一个场景,在一个非常小的项目中,由于业务逻辑比较简单,也没有啥安全要求,所以决定不采用 SpringSecurity、Shiro 等安全框架,但由于大部分方法都会用到当前的用户信息,所以决定对前端传递的用户token进行一次公共处理。 解决思路:...
微信小程序python token验证_Django实现微信小程序的登录验证功能并维护登录
最新发布
06-09
好的,我来回答你的问题。 要实现微信小程序的登录验证功能并维护登录态,可以通过以下步骤进行: 1. 在微信公众平台上创建一个小程序,并获取小程序的AppID和AppSecret。 2. 在Django中创建一个接口,用于接收前端发送过来的code和encryptedData等信息。 3. 在Django中使用requests库向微信服务器发送请求,获取session_key和openid等信息。 4. 在Django中生成一个自定义的token,并将token、session_key和openid等信息保存到数据库中。 5. 在前端通过wx.setStorageSync()方法将token保存在本地缓存中。 6. 在后续的请求中,前端通过wx.getStorageSync()方法获取token,并将token通过HTTP请求的Header中发送到Django服务器。 7. 在Django中对每个请求进行token校验,如果校验通过,则维护用户的登录态。 需要注意的是,为了保障用户信息的安全,需要对传输的数据进行加密和解密处理。同时,为了防止token被伪造,需要在生成token时加入一些随机因素,例如时间戳和随机字符串等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值