令牌认证 token
觉得废话多,可以直接看代码
代码参考:http://t.csdn.cn/Sf8km
令牌token解决了什么问题
解决http请求无状态的特性,让每次请求都有状态,知道请求是哪个用户发来的
首先要知道,http请求是无状态的
也就是说,即使是同一个人发送的两次请求,服务器也是不知道是同一个人过来访问的。
所以想让服务器知道请求的用户是谁,就需要用到token令牌技术了
等于是强行在http请求里面加了一个状态
理解
古代令牌是起什么作用的呢
1.制作令牌的技术,只有皇帝才会制作,其他人无法假冒
2.令牌代表某个人,见令牌如见人
其实接口的令牌技术,跟古代令牌的概念是一样的
1.令牌token只有web服务器可以制作,其他人无法假冒
2.令牌中存储用户的信息,服务器解密token后就知道这个令牌是哪个用户的令牌
原理
1.每次登录成功后,服务器把当前的用户id加密,就生成一个令牌,返回给客户
2.客户每次带着令牌去访问,服务器检验令牌,就能拿出里面的用户id,就知道是哪个用户访问的了
需要注意的是,生成令牌的操作,是只能服务器生成并解密的,如果其他人知道你的令牌生成和解密,就可以伪造token了
问题
思考一下现在的策略,是否可以满足单点登录功能
即使同时有三个不同的人,先后登录,拿到令牌,然后去访问,服务器也是不知道的
因为令牌里面存储的信息,只有用户的id,服务器也是根据用户id去判断令牌是否有效
而且用户id,是不能改变的,一个用户id,可能关联了其他的数据
解决办法1
1.数据库新加字段,登录时间戳
2.用户每次登录,都更新一下登录时间戳
3.在加密的token里面,再加一个登录时间戳字段,记录用户当前记录的登录时间戳
4.用户发来请求,检查令牌里面的登录时间戳是否和数据库一致,如果不一致,说明有其他人登录过,返回令牌失效
解决办法2
1.数据库新加字段,token
2.用户每次登录,都生成一个uuid,记录在用户数据库的token字段(uuid不会重复)
3.在加密的token令牌里面,把用户id替换成数据库的token字段
4.用户发来请求,检查令牌里面的token字段,去数据库查找,就找到了用户,如果没有找到,说明token已经被更新了,返回令牌失效
代码
python中,有三种生成令牌的方式
1.pyjwt
import jwt
# 生成令牌的秘钥
secret_key ="aixlti5oa#xh8untx"# 生成令牌 defcreate_token(data, key):return jwt.encode(data, key, algorithm="HS256")# 解密令牌 defopen_token(token, key):try:return jwt.decode(token, key, algorithms=["HS256"])except:returnNone# 模拟用户登录,把用户id信息制作令牌,并返回给app
user_info ={"user_id":123}
user_token = create_token(user_info, secret_key)print(user_token)# 用户请求,检查令牌里是否有用户id,如果没有,说明令牌是伪造的
result = open_token(user_token, secret_key)print(result)
2.使用低版本的itsdangerous库
from itsdangerous import TimedSerializer as Serializer
from itsdangerous import BadSignature, SignatureExpired
defgenerate_token(user, operation,**kwargs):"""生成用于邮箱验证的JWT(json web token)"""
s = Serializer(current_app.config['SECRET_KEY'], expire_in)# 待签名的数据负载
data ={'id': user.id,'operation': operation}
data.update(**kwargs)return s.dumps(data)defvalidate_token(user, token, operation):"""用于验证用户注册的token, 并完成相应的确认操作"""
s = Serializer(current_app.config['SECRET_KEY'])try:
data = s.loads(token)except(SignatureExpired, BadSignature):returnFalse...# 相关字段确认returnTrue
————————————————
版权声明:本文为CSDN博主「空巢青年_rui」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_43863487/article/details/123784400
3.authlib
from authlib.jose import jwt, JoseError
defgenerate_token(user, operation,**kwargs):"""生成用于邮箱验证的JWT(json web token)"""# 签名算法
header ={'alg':'HS256'}# 用于签名的密钥
key = current_app.config['SECRET_KEY']# 待签名的数据负载
data ={'id': user.id,'operation': operation}
data.update(**kwargs)return jwt.encode(header=header, payload=data, key=key)defvalidate_token(user, token, operation):"""用于验证用户注册和用户修改密码或邮箱的token, 并完成相应的确认操作"""
key = current_app.config['SECRET_KEY']try:
data = jwt.decode(token, key)print(data)except JoseError:returnFalse...# 其他字段确认returnTrue
版权归原作者 高冷的王哈哈 所有, 如有侵权,请联系我们删除。