python flask curl_使用 Flask 设计 RESTful 的认证

最新推荐文章于 2022-01-09 20:24:41 发布
最新推荐文章于 2022-01-09 20:24:41 发布
阅读量150 收藏
点赞数
文章标签: python flask curl

基于令牌的认证¶

每次请求必须发送 username 和 password 是十分不方便,即使是通过安全的 HTTP 传输的话还是存在风险,因为客户端必须要存储不加密的认证凭证,这样才能在每次请求中发送。

一种基于之前解决方案的优化就是使用令牌来验证请求。

我们的想法是客户端应用程序使用认证凭证交换了认证令牌,接下来的请求只发送认证令牌。

令牌是具有有效时间,过了有效时间后,令牌变成无效,需要重新获取新的令牌。令牌的潜在风险在于生成令牌的算法比较弱,但是有效期较短可以减少风险。

有很多的方法可以加强令牌。一个简单的强化方式就是根据存储在数据库中的用户以及密码生成一个随机的特定长度的字符串,可能过期日期也在里面。令牌就变成了明文密码的重排,这样就能很容易地进行字符串对比,还能对过期日期进行检查。

更加完善的实现就是不需要服务器端进行任何存储操作,使用加密的签名作为令牌。这种方式有很多的优点,能够根据用户信息生成相关的签名,并且很难被篡改。

Flask 使用类似的方式处理 cookies 的。这个实现依赖于一个叫做 itsdangerous 的库,我们这里也会采用它。

令牌的生成以及验证将会被添加到 User 模型中,其具体实现如下:

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

class User(db.Model):

# ...

def generate_auth_token(self, expiration = 600):

s = Serializer(app.config['SECRET_KEY'], expires_in = expiration)

return s.dumps({ 'id': self.id })

@staticmethod

def verify_auth_token(token):

s = Serializer(app.config['SECRET_KEY'])

try:

data = s.loads(token)

except SignatureExpired:

return None # valid token, but expired

except BadSignature:

return None # invalid token

user = User.query.get(data['id'])

return user

generate_auth_token() 方法生成一个以用户 id 值为值,’id’ 为关键字的字典的加密令牌。令牌中同时加入了一个过期时间,默认为十分钟(600 秒)。

验证令牌是在 verify_auth_token() 静态方法中实现的。静态方法被使用在这里,是因为一旦令牌被解码了用户才可得知。如果令牌被解码了,相应的用户将会被查询出来并且返回。

API 需要一个获取令牌的新函数,这样客户端才能申请到令牌:

@app.route('/api/token')

@auth.login_required

def get_auth_token():

token = g.user.generate_auth_token()

return jsonify({ 'token': token.decode('ascii') })

注意:这个函数是使用了 auth.login_required 装饰器,也就是说需要提供 username 和 password。

剩下来的就是决策客户端怎样在请求中包含这个令牌。

HTTP 基本认证方式不特别要求 usernames 和 passwords 用于认证,在 HTTP 头中这两个字段可以用于任何类型的认证信息。基于令牌的认证,令牌可以作为 username 字段,password 字段可以忽略。

这就意味着服务器需要同时处理 username 和 password 作为认证,以及令牌作为 username 的认证方式。verify_password 回调函数需要同时支持这两种方式:

@auth.verify_password

def verify_password(username_or_token, password):

# first try to authenticate by token

user = User.verify_auth_token(username_or_token)

if not user:

# try to authenticate with username/password

user = User.query.filter_by(username = username_or_token).first()

if not user or not user.verify_password(password):

return False

g.user = user

return True

新版的 verify_password 回调函数会尝试认证两次。首先它会把 username 参数作为令牌进行认证。如果没有验证通过的话,就会像基于密码认证的一样,验证 username 和 password。

如下的 curl 请求能够获取一个认证的令牌:

$ curl -u miguel:python -i -X GET http://127.0.0.1:5000/api/token

HTTP/1.0 200 OK

Content-Type: application/json

Content-Length: 139

Server: Werkzeug/0.9.4 Python/2.7.3

Date: Thu, 28 Nov 2013 20:04:15 GMT

{

"token": "eyJhbGciOiJIUzI1NiIsImV4cCI6MTM4NTY2OTY1NSwiaWF0IjoxMzg1NjY5MDU1fQ.eyJpZCI6MX0.XbOEFJkhjHJ5uRINh2JA1BPzXjSohKYDRT472wGOvjc"

}

现在可以使用令牌获取资源:

$ curl -u eyJhbGciOiJIUzI1NiIsImV4cCI6MTM4NTY2OTY1NSwiaWF0IjoxMzg1NjY5MDU1fQ.eyJpZCI6MX0.XbOEFJkhjHJ5uRINh2JA1BPzXjSohKYDRT472wGOvjc:unused -i -X GET http://127.0.0.1:5000/api/resource

HTTP/1.0 200 OK

Content-Type: application/json

Content-Length: 30

Server: Werkzeug/0.9.4 Python/2.7.3

Date: Thu, 28 Nov 2013 20:05:08 GMT

{

"data": "Hello, miguel!"

}

需要注意的是这里并没有使用密码。

weixin_39747721
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flask-ansible:Flask Restful Service使用Ansible2 Python API在远程主机上运行任务
05-13
在工作站上生成并运行示例应用程序: docker build -t flask-ansible .sudo docker run -p 80:80/tcp flask-ansible 现在,在浏览器上打开 ,或仅使用curl调用示例应用程序上的唯一方法: curl 'localhost/?...
flask框架快速搭建服务及curl访问验证
空山新雨后,天气晚来秋
12-30 359
flask框架快速搭建服务及curl访问验证
Python使用curl检验flask-restful服务post请求
WEL测试
08-12 1688
WEL测试:这是什么?我想看看,看了会不会中毒呀?有点害怕 /root/tmp/api.py内容如下: ```python from flask import Flask, jsonify from flask_restful import reqparse, abort, Api, Resource app = Flask(__name__) api = Api(app) parser = reqparse.RequestParser() parser.add_argument('usernam.
flask获取post请求参数
阿常呓语的专栏
01-09 1万+
flask获取post请求参数 文章目录flask获取post请求参数概述1. `application/json`http 请求报文格式如下:使用curlpostman 请求flask如何获取请求体呢2. `application/x-www-form-urlencoded`使用curl 请求flask如何获取请求体呢3. `multipart/form-data`使用curl 请求postman 请求flask如何获取请求体呢4. text/plainhttp 请求报文如下使用curl 请求postma
curl命令查看flask框架请求响应时间
qq_43604989的博客
08-30 705
我在用线程调试观察是否并发的时候用到这个 # curl -o /dev/null -s -w %{time_namelookup}::%{time_connect}::%{time_starttransfer}::%{time_total}::%{speed_download}"\n" http://www.36nu.com 0.014::0.015::0.018::0.019::1516256.00 -o:把curl 返回的html、js 写到垃圾回收站[ /dev/null] -s:去掉所有状态
curl将文件放到服务器上,使用curl将文件上传到python flask服务器
weixin_42682925的博客
08-05 752
撒科打诨我有很多问题无法解决,因此这是一个非常明确的解决方案:在这里,我们制作了一个简单的flask应用程序,该应用程序有两种方法,一种用于测试应用程序是否正常工作(“ Hello World”),另一种用于打印文件名(以确保获得文件名)。from flask import Flask, requestfrom werkzeug.utils import secure_filenameapp = ...
一个简单的后端开发脚本示例,使用PythonFlask框架来创建一个基本的RESTful API
最新发布
04-18
这个脚本定义了一个简单的RESTful ...运行脚本后,你可以使用curl或Postman等工具来测试这些API端点。此外,还可以进一步添加输入验证、错误处理、日志记录以及安全特性(如认证和授权)来增强API的健壮性和安全性。
flask-restful-login:Flask Restful服务包括注册,登录,注销,重置密码和一些数据路由。 它包括一些基于用户,管理员或超级管理员访问权限的示例路由
02-05
flask-restful-login-example 安装 需要Python 3。 有多种方法可以将请求发送到服务器。 邮递员,失眠,cURL,httpie和curl是发送请求的简单而有用的工具。 我最喜欢httpie和curl。 用法如下所示。 将项目和安装...
restful-todo:Python Flask 中的 RESTful Todo 管理
07-01
RESTful 待办事项应用程序PythonFlask 中基于 RESTful 的基于 Web 的 Todo 应用程序安装 $ python manage.py createall跑步$ python manage.py runserver测试$ python manage.py test去掉$ python manage.py ...
flask-base:样板Flask RESTful API
02-14
样板Flask RESTful API 要求 Python 3.6+ 诗歌 pyenv(可选) MongoDB(可选) Redis(可选) 设置 装诗 curl -sSL https://raw.githubusercontent.com/sdispater/poetry/master/get-poetry.py | python 文件: ...
Flask-RestAPI-jwt:具有用户身份验证的Flask Rest API
04-12
Flask-RestAPI-jwt 具有用户身份验证的Flask Rest API,考虑了Flask-JWT-Extended版本4.1的更新 介绍: 具有Flask的RESTAPI,使用基于令牌的身份验证。 技术: 烧瓶 烧瓶RESTFUL-0.3.8 Flask-JWT_Extended-4.1.0 Flask-SQLAlchemy-2.4.4 基本信息: JWT代表JSON WEB TOKEN,是在两方或实体之间传输随机令牌的一种安全方法。 API(应用程序编程接口)允许两个应用程序之间的通信来检索或提交数据。 REST API属于请求-响应类别。 Flaskpython开发人员用来构建其余API的微框架。 先决条件: requirements.txt Flask Flask-RESTFUL-0.3.8 Flask-JWT_Extended-4.1.0
flaskcurl访问验证
weixin_47423513的博客
08-17 791
文章目录flask安装flask使用flaskcurl访问验证 flask 安装flask pip install flask 使用flask from flask import Flask, request import sys import os sys.path.append('.') app = Flask(__name__) import PredictDogCat model = PredictDogCat.init('/workspace/Projects/DogAndcat/mode
python flask curl_Python flask post接口
weixin_28902749的博客
02-09 246
from flask import Flask,render_template,requestapp = Flask(__name__)@app.route("/login",methods = ['POST','GET'])def login():if request.method == "POST":username = request.form.get('username')password...
python flask curl_使用python+flask让你自己api(教程源代码)
weixin_39683144的博客
11-28 246
1.背景ok,这可能是很多朋友和我一样经常使用的各种api,例facebook的。github的。甚至微信api。因此,很多人都想使自己的api。在线教程在这方面它是非常小的,今天,我做了一个平稳,发布时间下方法。首先秀一下效果:用“curl”方法,返回一个json,大家也能够试下:curl -i http://ospafzone.duapp.com/ospaf2.代码首先说下环境吧,就是pyth...
Python Web框架 flask post JSON数据获取方式总结
图特摩斯科技-博客
08-18 3万+
提交任务: curl -i -H "Content-Type: application/json" -X POST -d '{" data = request.data ----获取的是字符串 data = request.get_data()
python flask curl_使用cURL的json参数Flask Get请求
weixin_33603316的博客
02-09 428
使用pythonflask开发了一个简单的restapi。下面是我正在做的一个例子:from flask import Flask, requestimport jsonapp = Flask(__name__)@app.route("/")def hello():json_arg = json.loads(request.args.get("json_arg", None))non_json...
Flask之处理客户端通过POST方法传送的数据
热门推荐
Yelena_11的博客
11-30 3万+
作为一种HTTP请求方法,POST用于向指定的资源提交要被处理的数据。我们在某网站注册用户、写文章等时候,需要将数据保存在服务器中,这是一般使用POST方法。 本文使用Python的requests库模拟客户端。 建立Flask项目 按照以下命令建立Flask项目HelloWorld: mkdir HelloWorld mkdir HelloWorld/static
flask接收post请求
大可乐的博客
08-16 8717
最近接到一个任务: 写一个server来接收数据,请求方式为post,传输方式为https最终选定python轻量级框架flask 安装:sudo pip install Flask关于flask写html直接接收文件的代码:import os from flask import Flask, request, redirect, url_for from werkzeug import sec
python注册登录_Python日记——做一套简易的注册登录系统
weixin_39939904的博客
11-21 223
这次我主要讲解如何用python基于Flask的登录和注册,验证方式采用Basic Auth主要用以下库import os#Flask的基础库from flask import Flask, abort, request, jsonify, g, url_for#Flaks的数据库操作的库from flask.ext.sqlalchemy import SQLAlchemy#Flask登录注册的库...
python flask websocket_Flask使用websocket
05-18
from flask_socketio import SocketIO app = Flask(__name__) app.config['SECRET_KEY'] = 'secret!' socketio = SocketIO(app) ``` 现在,你可以使用 `@socketio.on` 装饰器来定义 WebSocket 事件处理程序。例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值