Flask中实现JWT认证-token-refresh_token

最新推荐文章于 2024-08-31 09:31:38 发布
最新推荐文章于 2024-08-31 09:31:38 发布
阅读量1.9k 收藏 16
点赞数 2
分类专栏: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42289273/article/details/116941397
版权

核心思想


解决单一token的安全问题,设置2个token一个对接业务,有需求就带着业务token去认证然后操作相关功能,有效期较短,2小时;另一个token专门用来刷新业务token,简称刷新token,具有较长的过期时间,14天;
当业务token过期时,必须携带刷新token通过put接口来实现token的刷新,新的业务token还是存活2小时,这期间刷新token一直不变,直到14天后刷新token过期,重新开始新一轮的循环;在调用生成token的接口时,利用一个布尔型标识need_refresh_token来判断是否生成刷新token,保证有效期内只会生成新的业务token而刷新token则一直保持不变

2. 完整代码

import functools
from datetime import datetime, timedelta

import jwt
from flask import g, request, Flask, current_app, jsonify

app = Flask(__name__)
app.config["JWT_SECRET"] = "abc123"
app.config["JWT_EXPIRY_HOURS"] = 15
app.config["JWT_REFRESH_DAYS"] = 60


def generate_jwt(payload, expiry, secret=None):
    """
    生成jwt
    :param payload: dict 载荷
    :param expiry: datetime 有效期
    :param secret: 密钥
    :return: jwt
    """
    _payload = {'exp': expiry}
    _payload.update(payload)

    if not secret:
        secret = current_app.config['JWT_SECRET']

    token = jwt.encode(_payload, secret, algorithm='HS256')
    return token


def verify_jwt(token, secret=None):
    """
    检验jwt
    :param token: jwt
    :param secret: 密钥
    :return: dict: payload
    """
    if not secret:
        secret = current_app.config['JWT_SECRET']

    try:
        payload = jwt.decode(token, secret, algorithms=['HS256'])
    except jwt.PyJWTError:
        payload = None

    return payload


def login_required(f):
    '让装饰器装饰的函数属性不会变 -- name属性'
    '第1种方法,使用functools模块的wraps装饰内部函数'

    @functools.wraps(f)
    def wrapper(*args, **kwargs):
        if not g.user_id:
            return {'message': 'User must be authorized.'}, 401
        elif g.refresh:
            return {'message': 'Do not use refresh token.'}, 403
        else:
            return f(*args, **kwargs)

    '第2种方法,在返回内部函数之前,先修改wrapper的name属性'
    # wrapper.__name__ = f.__name__
    return wrapper


@app.before_request
def jwt_authentication():
    """
    1.获取请求头Authorization中的token
    2.判断是否以 Bearer开头
    3.使用jwt模块进行校验
    4.判断校验结果,成功就提取token中的载荷信息,赋值给g对象保存
    """
    auth = request.headers.get('Authorization')
    if auth and auth.startswith('Bearer '):
        "提取token 0-6 被Bearer和空格占用 取下标7以后的所有字符"
        token = auth[7:]
        "校验token"
        payload = verify_jwt(token)
        "判断token的校验结果"
        g.user_id = None
        g.refresh = None
        if payload:
            "获取载荷中的信息赋值给g对象"
            g.user_id = payload.get('user_id')
            g.refresh = payload.get('refresh')


def generate_token(user_id, need_refresh_token=True):
    """
    生成token 和refresh_token
    :param user_id: 用户id
    :return: token2小时, refresh_token14天
    """
    pass
    '生成时间信息'
    current_time = datetime.utcnow()
    '指定有效期  业务token -- 2小时,我们这里测试所以设置的秒数'
    expire_time = current_time + timedelta(seconds=current_app.config['JWT_EXPIRY_HOURS'])

    '生成业务token  refresh 标识是否是刷新token'
    token = generate_jwt({'user_id': user_id, 'refresh': False}, expiry=expire_time)

    '给刷新token设置一个默认值None'
    refresh_token = None
    '根据传入的参数判断是否需要生成刷新token'
    '不需要生成的传入need_refresh_token=False,需要的传入True或不传使用默认值'
    if need_refresh_token:
        '指定有效期  刷新token -- 14天,我们这里测试所以设置的秒数'
        refresh_expires = current_time + timedelta(seconds=current_app.config['JWT_REFRESH_DAYS'])
        '生成刷新token'
        refresh_token = generate_jwt({'user_id': user_id, 'refresh': True}, expiry=refresh_expires)
    '返回这两个token'
    return token, refresh_token


@app.route('/login')
def login():
    if request.form.get("name") == "admin" and request.form.get("pwd") == "123456":
        token, refresh_token = generate_token(11)
        return jsonify({"token": token, "refresh_token": refresh_token})
    else:
        return "用户名密码错误"


@app.route("/order")
@login_required
def order():
    return "order页面"


@app.route("/refresh_token")
def refresh_token():
    """
    1.携带刷新token,返回业务token
    2.用户必须登录g.user_id , 必须携带刷新token不允许携带业务token
    3.客户端请求参数 刷新token
    """
    '1.判断是否登录 2.判断refresh字段是否为True--是否是刷新token'
    if g.user_id and g.refresh is True:
        '调用生成token的方法 参数 need_refresh_token=False 不需要生成刷新token 仅生成业务token'
        token, refresh_token = generate_token(g.user_id, need_refresh_token=False)
        '返回业务token  修改成功状态码201'
        return {'token': token}, 201
    else:
        '失败返回错误信息和状态码'
        return {'message': 'Wrong Token'}, 403
    pass


if __name__ == '__main__':
    app.run(debug=True)

 

专职
关注
专栏目录
flask-用户认证(下)
Dimples_54的博客
09-02 1902
确认账户 对于某些特定类型的程序,有必要确认注册时用户提供的信息是否正确。常见要求是能通过提供的电 子邮件地址与用户取得联系。 为验证电子邮件地址, 用户注册后,程序会立即发送一封确认邮件。新账户先被标记成未激活状态,用户点击邮件的链接后,才能激活。账户确认过程,往往会要求用户点击一个包含确认令牌的特殊 URL 链接。 1. 使用itsdangerous生成确认令牌
JWTrefresh_token
热门推荐
dskwe的专栏
01-10 1万+
参考链接: https://github.com/tymondesigns/jwt-auth/issues/186 https://github.com/tymondesigns/jwt-auth/issues/11利用JWT处理过期: 1.在普通路径下请求时如果token过期,则客户端再次发出一个请求给服务器到一个设定的refresh路径 2.在该路径下采用middleware = ‘jw
flaskjwt登录认证(有刷新token
冰冷的希望的博客
11-08 3690
1.获取token 每次请求都会获取tokentoken位于客户端的header的Authorization字段,取不到返回None common/utils/middleware.py # common/utils/middleware.py from flask import request, current_app, g from utils.jwt_util import verify_jwt def get_userinfo(): # 1.获取请求头token信息 [登录token
使用Flask-Login实现token验证和超时失效使用体会
C~C的小世界
09-17 1万+
使用Flask-Login实现token验证和超时失效
Flask-JWT-Auth使用教程
最新发布
gitblog_00180的博客
08-31 815
Flask-JWT-Auth使用教程 flask-jwt-authJWT Authorization in Flask项目地址:https://gitcode.com/gh_mirrors/fla/flask-jwt-auth 项目目录结构及介绍 在深入项目之前,让我们先了解下flask-jwt-auth项目的典型目录布局。请注意,以下结构是基于常规的Flask应用组织方式和假设的结构,因为特...
Flask-JWT-Extended 使用教程
gitblog_00691的博客
08-19 944
Flask-JWT-Extended 使用教程 flask-jwt-extended An open source Flask extension that provides JWT support (with batteries included)!项目地址:https://gitcode.com/gh_mirrors/fl/flask-jwt-extended 项目介绍 Flask-JWT-...
flask 实现token机制
weixin_69282241的博客
06-07 875
flask 实现token机制
flask使用refresh token来刷新access token(前后端分离)
m0_61143764的博客
07-24 1404
refresh token
flask 生成 jwt token
nongcunqq的博客
10-14 812
【代码】flask 生成 jwt token
flask刷新token
aimiandai4698的博客
01-24 868
我们在做前后端分离的项目,最常用的都是使用token认证。 登录后将用户信息,过期时间以及私钥一起加密生成token,但是比较头疼的就是token过期刷新的问题,因为用户在登录后,如果在使用过程,突然提示token过期了,需要重新登录,会觉得很奇怪。 我使用的方式,是在解析token的时候,如果token过期了,但是还在可刷新的时间范围内,我们应该自动刷新token,并将新的to...
Flask项目实现JWT认证机制---双token机制
sn0wp3ak技术分享
04-06 2352
核心思想 解决单一token的安全问题,设置2个token一个对接业务,有需求就带着业务token认证然后操作相关功能,有效期较短,2小时;另一个token专门用来刷新业务token,简称刷新token,具有较长的过期时间,14天; 当业务token过期时,必须携带刷新token通过put接口来实现token的刷新,新的业务token还是存活2小时,这期间刷新token一直不变,直到14天后刷新...
Flask + PyJWT 实现基于Json Web Token的用户认证授权.zip
06-29
Flask是一个轻量级的Web应用框架,使用Python语言编写。它基于Werkzeug WSGI工具包和Jinja2模板引擎。Flask的设计理念是简单、灵活和可扩展,它不会强制开发者遵循特定的方式去组织应用程序,因此给开发者提供了高度的自由度。 Flask被称为“微框架”,因为它核心功能精简,只包含了处理HTTP请求、路由(URL到函数的映射)、模板渲染等基本功能。对于数据库管理、表单处理、用户认证等更复杂的功能,Flask通过扩展来支持。这意味着开发者可以根据需要选择合适的扩展来增强其功能,保持应用的简洁性同时不失灵活性。 由于其轻量和灵活性,Flask非常适合小型项目、快速原型开发、或作为学习Web开发的入门框架。同时,它也能够支持构建复杂的大型应用,只要通过合理的组织和选用合适的第三方扩展即可。
jwt:Flask JWT示例
04-19
什么是JWT?为什么使用JWT http是无状态协议,每次请求都是独立的一次过程,如果要知道是谁在访问(是否同一个客户端),需要额外的认证和鉴权方式。session和jwt即为两种解决方案。 JWT 全称:Json Web Token,一种 web 认证标准【解决方案】;是使用特定数据结构(header、payload、signature)包含信息(如请求客户端的用户和权限信息)、特定算法(加密)、特定格式(json)形成的 web 服务认证令牌【组成】。当用户使用用户名密码登录后,由服务器颁发凭证(加密后数据),客户端下次访问时携带凭证(服务器解密数据有效)即可访问特定资源【原理】。能很好的用于跨域认证(前后端分离、单点登录)【应用】。 优点(与session形式相比): 减轻服务器存储压力(不用在服务端存储); 增加信息传输,可以添加更多信息在 token ; 跨服务器(单点登录)。
基于acess_tokenrefresh_token实现token续签
03-19
在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、Shiro、JWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
django jwt token认证rest_framework_jwtrefresh token有效期
hhhhh11的博客
09-11 3508
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwtrefresh token功能,因为它很可能不是你想象refresh token哦 。 场景再现 在jwt鉴权过程往往会使用accesstokenrefreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
Django JWT -- obtain_jwt_token的原理
gymaisyl的博客
11-19 5636
首先先声明以下本次进行登陆验证操作的环境: Django框架,在项目名同名的文件包下创建一个users子应用(正常流程下,咱们在注册时,已经将这个子应用创建好了);具体的一些文件可以参考下图。 当前,在使用JWT之前,我相信大家应该知道把JWT安装一下的吧 pip install djangorestframework-jwt Django REST framework JWT提供了登录签发...
JWT refreshtoken 实践
weixin_34209406的博客
04-29 2470
Json web token (JWT), 根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
Laravel5.5安装与使用jwt-auth生成Token全攻略
"这篇教程介绍了在 Laravel 5.5 框架如何安装和配置 jwt-auth 库,以及如何生成 token 令牌。" 在 Laravel 5.5 使用 jwt-auth 进行身份验证和授权是开发 RESTful API 的常见实践。jwt-auth 是一个流行的 JSON ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

专职

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值