python flask 令牌token原理及代码实现

令牌认证 token

觉得废话多，可以直接看代码
代码参考：http://t.csdn.cn/Sf8km

令牌token解决了什么问题

解决http请求无状态的特性，让每次请求都有状态，知道请求是哪个用户发来的

首先要知道，http请求是无状态的
也就是说，即使是同一个人发送的两次请求，服务器也是不知道是同一个人过来访问的。
所以想让服务器知道请求的用户是谁，就需要用到token令牌技术了

等于是强行在http请求里面加了一个状态

理解

古代令牌是起什么作用的呢
1.制作令牌的技术，只有皇帝才会制作，其他人无法假冒
2.令牌代表某个人，见令牌如见人

其实接口的令牌技术，跟古代令牌的概念是一样的
1.令牌token只有web服务器可以制作，其他人无法假冒
2.令牌中存储用户的信息，服务器解密token后就知道这个令牌是哪个用户的令牌

原理

1.每次登录成功后，服务器把当前的用户id加密，就生成一个令牌，返回给客户
2.客户每次带着令牌去访问，服务器检验令牌，就能拿出里面的用户id，就知道是哪个用户访问的了

需要注意的是，生成令牌的操作，是只能服务器生成并解密的，如果其他人知道你的令牌生成和解密，就可以伪造token了

问题

思考一下现在的策略，是否可以满足单点登录功能

即使同时有三个不同的人，先后登录，拿到令牌，然后去访问，服务器也是不知道的
因为令牌里面存储的信息，只有用户的id，服务器也是根据用户id去判断令牌是否有效
而且用户id，是不能改变的，一个用户id，可能关联了其他的数据

解决办法1

1.数据库新加字段，登录时间戳
2.用户每次登录，都更新一下登录时间戳
3.在加密的token里面，再加一个登录时间戳字段，记录用户当前记录的登录时间戳
4.用户发来请求，检查令牌里面的登录时间戳是否和数据库一致，如果不一致，说明有其他人登录过，返回令牌失效

解决办法2

1.数据库新加字段，token
2.用户每次登录，都生成一个uuid，记录在用户数据库的token字段（uuid不会重复）
3.在加密的token令牌里面，把用户id替换成数据库的token字段
4.用户发来请求，检查令牌里面的token字段，去数据库查找，就找到了用户，如果没有找到，说明token已经被更新了，返回令牌失效

代码

python中，有三种生成令牌的方式

1.pyjwt

import jwt  
  
# 生成令牌的秘钥  
secret_key ="aixlti5oa#xh8untx"# 生成令牌  defcreate_token(data, key):return jwt.encode(data, key, algorithm="HS256")# 解密令牌  defopen_token(token, key):try:return jwt.decode(token, key, algorithms=["HS256"])except:returnNone# 模拟用户登录，把用户id信息制作令牌，并返回给app  
user_info ={"user_id":123}  
user_token = create_token(user_info, secret_key)print(user_token)# 用户请求，检查令牌里是否有用户id，如果没有，说明令牌是伪造的  
result = open_token(user_token, secret_key)print(result)

2.使用低版本的itsdangerous库

from itsdangerous import TimedSerializer as Serializer
from itsdangerous import BadSignature, SignatureExpired

defgenerate_token(user, operation,**kwargs):"""生成用于邮箱验证的JWT（json web token）"""
    s = Serializer(current_app.config['SECRET_KEY'], expire_in)# 待签名的数据负载
    data ={'id': user.id,'operation': operation}
    data.update(**kwargs)return s.dumps(data)defvalidate_token(user, token, operation):"""用于验证用户注册的token, 并完成相应的确认操作"""
    s = Serializer(current_app.config['SECRET_KEY'])try:
        data = s.loads(token)except(SignatureExpired, BadSignature):returnFalse...# 相关字段确认returnTrue
————————————————
版权声明：本文为CSDN博主「空巢青年_rui」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_43863487/article/details/123784400

3.authlib

from authlib.jose import jwt, JoseError

defgenerate_token(user, operation,**kwargs):"""生成用于邮箱验证的JWT（json web token）"""# 签名算法
    header ={'alg':'HS256'}# 用于签名的密钥
    key = current_app.config['SECRET_KEY']# 待签名的数据负载
    data ={'id': user.id,'operation': operation}
    data.update(**kwargs)return jwt.encode(header=header, payload=data, key=key)defvalidate_token(user, token, operation):"""用于验证用户注册和用户修改密码或邮箱的token, 并完成相应的确认操作"""
    key = current_app.config['SECRET_KEY']try:
        data = jwt.decode(token, key)print(data)except JoseError:returnFalse...# 其他字段确认returnTrue