基于python3的token认证和鉴权

最新推荐文章于 2024-08-18 03:27:19 发布
最新推荐文章于 2024-08-18 03:27:19 发布
阅读量6.3k 收藏 7
点赞数 2
分类专栏: DEVOPS web后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhao_1109/article/details/84952969
版权

在我们写web项目的时候,一定会遇到关于token的问题,需求可能让你做token认证或者token鉴权,那么两者到底有什么区别呢?

我针对我工作中的python实现token鉴权和认证给大家说一哈。

首先我们应该知道token是什么?

1.token认证

传统的身份验证,就是我们的客户端也就是用户 通过同户名密码来登陆我们的系统,下回再请求的时候,再验证一下,传统解决就是用session和cookie,用户请求的时候返回给客户一个sessionid的字符串,标明这个用户是谁,下次客户请求的时候我们服务器会验证cookie中的信息,找到对应的sessionid就验证通过返回客户想要的信息,但是这样会有一个问题,我们可能会有一个地方存这个sessionid,可能在redis中,要是持久化在mysql中我们可能还要定期处理过期的session。

在我看来token认证可能就是客户端要有登陆,登陆之后再有权利请求别的接口,流程:

1.我们发送请求的时候根据用户名密码请求到server端,

2.server端返回给client端一个加密的token串

3.接下来的每一次请求客户端都可以携带这个加密的token串到server端,这个token串前端可以加在请求头或者直接以参数的形式拼在url后面,后端无论java还是python是可以接收到的。

4.后端判断如果有token我们就可以给客户返回想要的数据。

所以针对以上的问题基于token的验证就不用存储,是一种restful+json的认证方法

但是这个会有一个问题,我在实现的时候就用到了加密解密,python3代码:

#加密算法

import time
import base64
import hmac

def generate_token(key, expire=3600):
ts_str = str(time.time()+expire)
ts_byte = ts_str.encode("utf-8")
#加密
sha1_tshexstr = hmac.new(key.encode("utf-8"),ts_byte,'sha1').hexdigest()
token = ts_str+':'+sha1_tshexstr
b64_token = base64.urlsafe_b64encode(token.encode("utf-8"))
return b64_token.decode("utf-8")

我们可能会想,是不是客户端签发了这个token,然后我服务端用一样的加密算法来判断这个token是不是我签发的就能认证是不是我签发的token了,但是不是这样的,我们要是知道,我们会用到time.time()生成当前时间,这个时间是很精确的,客户端发送请求生成到服务端肯定要有个时间差的生成的token一定不一样,所以一定不会通过验证,也就不会走到客户想要数据的相应路由下,也就不会返回数据。

所以我们要用一个解密的方法,代码:

#解密
def certify_token(key, token):
token_str = base64.urlsafe_b64decode(token).decode('utf-8')
token_list = token_str.split(':')
if len(token_list) != 2:
return 0
ts_str = token_list[0]
if float(ts_str) < time.time():
# token expired
return 0
known_sha1_tsstr = token_list[1]
sha1 = hmac.new(key.encode("utf-8"),ts_str.encode('utf-8'),'sha1')
calc_sha1_tsstr = sha1.hexdigest()
if calc_sha1_tsstr != known_sha1_tsstr:
# token certification failed
return 0
# token certification success
return 1

我们分析解密代码,如果我们传参,一个我们规定好的key和客户端携带来的我们签发的token,我们解密之后,我们验证我们的key,是相同key就说明密钥相同,是我们签发的,然后还会有个时间,我们验证没有超过我们规定的时间就让客户请求,返回数据。

我当时没有用解密就遇到一个坑:

我想我既然和客户端规定好了密钥,那我不解密,服务端也加密,然后判断两端加密的是不是一样就行了,但是这样问题就出现了,我们一直加密的串都是一样的。这就不对了,所以我们加密的时候要有个当前时间,然后分析时间过期没有,在分析我们的私钥,就能判断是不是可以请求了。

所以我们做token应该都是要解密的,不解密还没有想到该怎么实现。。

Kerxy
关注
专栏目录
python token flask_使用python/flask实现鉴权
weixin_39794734的博客
12-05 1052
上一篇文章介绍了使用JWT协议来做token认证的功能,继续装逼下去,怎样实现一个鉴权的模块?假设token认证的功能已经完成,那么设定为每次请求头部中都带上这个token。server端在每次响应请求时都要做一次token的校验,包括两个内容:token是否合法,token是否过期、是否被篡改,token内的信息是否有效用户是否有权限执行此请求在python/flash上,这个检验使用decor...
Python Flask token身份认证
Saki_Python的博客
10-10 592
Python Flask是一个使用Python编写的轻量级Web应用框架,它可以非常方便地搭建Web应用。在Web应用中,经常需要进行身份认证,以确保只有授权用户才能访问某些资源。本文将介绍如何使用token进行身份认证,以及如何在Python Flask中实现token身份认证。一、什么是token身份认证token身份认证Token-based authentication)是一种常见的Web身份认证方式,它是利用token来确保用户的身份。
python 产生tokentoken验证的方法
01-21
1、前言 最近在做微信公众号开发在进行网页授权时,微信需要用户自己在授权url中带上一个类似token的state的参数,以防止跨站攻击。 在经过再三思考之后,自己试着实现一个产生token和验证token的方案。接下就把code贴出来。希望读者指导一下。 2、产生token 原理: 通过hmac sha1 算法产生用户给定的key和token的最大过期时间戳的一个消息摘要,将这个消息摘要和最大过期时间戳通过”:”拼接起来,再进行base64编码,生成最终的token 实现: import time import base64 import hmac def generate_token(k
python3:微信平台开发(1)-token验证
weixin_43731793的博客
02-07 1893
1、环境安装 python3 安装web.py 安装libxml2, libxslt, lxml python 安装libxml2参考 https://www.cnblogs.com/lizm166/p/8099245.html https://www.cnblogs.com/marvelousone/p/12185582.html
Python 国际认证
最新发布
weixin_37992079的博客
08-18 24
我整理的一些关于【Python】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/Hpqqk2Python 国际认证:了解、意义与实践 Python是一种广泛使用的编程语言,其应用领域从数据分析到人工智能、从网站开发到自动化脚本等,都有着广泛的应用。因此,获得Python国际认...
python3 token.py
weixin_42193179的博客
02-26 303
""" 模块:python3 token.py 功能:python3 实现 token 的验证。 参考: https://blog.csdn.net/zhao_1109/article/details/84952969 https://www.cnblogs.com/yrxns/p/7727471.html 知识点: 1.hmac.new(key, msg=None, digestmod=Non...
python token_Python实现JWT(JSON Web Token认证
weixin_39554172的博客
11-24 679
作者介绍张龙(zero),一线运维老鸟。致力于LINUX/PYTHON/开源技术研究。常见认证方法首先要明白,认证和授权是不同的。认证是判定用户的合法性,授权是判定用户的权限级别是否可执行后续操作。这里所讲的仅含认证。basic认证这是http协议中所带带基本认证,是一种简单为上的认证方式。原理是在每个请求的header中添加用户名和密码的字符串(格式为“username:password”,用b...
jwt认证机制优势和原理_理解JWT(JSON Web Token认证及实践
weixin_39716510的博客
11-23 435
最近想做个小程序,需要用到授权认证流程。以前项目都是用的 OAuth2 认证,但是Sanic 使用OAuth2 不太方便,就想试一下 JWT 的认证方式。这一篇主要内容是 JWT 的认证原理,以及python 使用 jwt 认识的实践。#python# #Python# #JSON# #认证#几种常用的认证机制HTTP Basic AuthHTTP Basic Auth 在HTTP中,基本认证是一...
基于Token的接口鉴权实战
本章将深入探讨接口鉴权的重要性,接口鉴权的分类和常用方案,以及为何选择基于Token的接口鉴权方式。 ### 1.1 什么是接口鉴权以及其作用 接口鉴权是指在接口调用时对调用方的身份进行验证,确保调用方有权限进行...
Django+JWT实现Token认证的实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
接口测试之Cookie,Session,Token鉴权鉴权接口错误码验证
# 1. 简介 ### 1.1 什么是接口测试 ...Cookie,Session,Token是常见的鉴权方式,通过对用户身份的验证,确保用户访问系统的合法性和安全性。 ### 1.3 目标:鉴权接口错误码验证的重要性 对于接口测试而言,鉴
python 认证 国际_python 实现 身份验证+授权接口
weixin_39600366的博客
12-04 292
importhashlibclassAuthException(Exception):def __init__(self, username, user=None):super().__init__(username, user)self.username=usernameself.user=userclassUsernameAlreadyExists(AuthException):passcla...
python3生成token和验证
ajiong314
09-20 2941
# -*- coding: utf-8 -*- from passlib.apps import custom_app_context as pwd_context import config import MySQLdb,datetime from itsdangerous import TimedJSONWebSignatureSerializer as Serializer, BadSi...
python 产生tokentoken验证的方法(有效)
董佳宁的博客
03-24 2523
近期再做一个关于登陆的一个操作首先想到的就是产生token和验证token的方案,接下就把code贴出来。 产生token: import time import base64 import hmac def generate_token(key, expire=3600): r''' @Args: key: str (用户给定的key,需要用户保存以便之后验证token,每次产生token时的key 都可以是同一个key) expire: int(最大有效时间,单位为s) @Return
Python接入微信公众号Token验证
笔头博客
10-30 504
## 注意点 1. 官方示例是Pthon2 版本的,如果是Python3 版本需要有改动 2. 验证成功返回 echostr 要是 数字格式的 3. token 验证接口不能重定向 ## 公众号侧配置 (公众号后台 - 基本配置) ![1667187485230](https://img-blog.csdnimg.cn/04ae8b7fcdb4479ab36c0f50f93c95bb.png) ## 服务器侧配置 1. 代码部分 官方示例(python2) ```language # -*- codi
基于python3token认证鉴权不用解密的实现
zhao_1109的博客
12-18 1100
上一篇https://blog.csdn.net/zhao_1109/article/details/84952969#commentsedit中我解释了为什么我们在token中要用到解密,其实我们做token鉴权不用解密也可以实现 有这样一种需求,就是在别人访问我一个指定的路由,这个路由下可能是一些增删改查的方法, 这个时候我们要判断他是否有权限来访问我们的数据我们就要做一个token鉴权 ...
[73]python产生tokentoken验证
热门推荐
周小董
06-14 1万+
1.前言 最近在做微信公众号开发在进行网页授权时,微信需要用户自己在授权url中带上一个类似token的state的参数,以防止跨站攻击。 在经过再三思考之后,自己试着实现一个产生token和验证token的方案。接下就把code贴出来。希望读者指导一下。 2.产生token 原理: 通过hmac sha1 算法产生用户给定的key和token的最大过期时间戳的一个消息摘要,将这个消...
python3 Flask jwt 简易token认证实例
jxyk2007的专栏
02-20 717
chatgpt写的代码。
基于springhiberate及redis的token鉴权
08-09
基于Spring Hibernate和Redis的Token鉴权是一种常见的身份验证和授权机制。该机制使用Token作为用户认证凭据,并通过Redis存储和管理Token的有效期和访问权限。 实现该机制的步骤如下: 1. 用户登录时,后台验证...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值