令牌认证 token
觉得废话多,可以直接看代码
代码参考:http://t.csdn.cn/Sf8km
令牌token解决了什么问题
解决http请求无状态的特性,让每次请求都有状态,知道请求是哪个用户发来的
首先要知道,http请求是无状态的
也就是说,即使是同一个人发送的两次请求,服务器也是不知道是同一个人过来访问的。
所以想让服务器知道请求的用户是谁,就需要用到token令牌技术了
等于是强行在http请求里面加了一个状态
理解
古代令牌是起什么作用的呢
1.制作令牌的技术,只有皇帝才会制作,其他人无法假冒
2.令牌代表某个人,见令牌如见人
其实接口的令牌技术,跟古代令牌的概念是一样的
1.令牌token只有web服务器可以制作,其他人无法假冒
2.令牌中存储用户的信息,服务器解密token后就知道这个令牌是哪个用户的令牌
原理
1.每次登录成功后,服务器把当前的用户id加密,就生成一个令牌,返回给客户
2.客户每次带着令牌去访问,服务器检验令牌,就能拿出里面的用户id,就知道是哪个用户访问的了
需要注意的是,生成令牌的操作,是只能服务器生成并解密的,如果其他人知道你的令牌生成和解密,就可以伪造token了
问题
思考一下现在的策略,是否可以满足单点登录功能
即使同时有三个不同的人,先后登录,拿到令牌,然后去访问,服务器也是不知道的
因为令牌里面存储的信息,只有用户的id,服务器也是根据用户id去判断令牌是否有效
而且用户id,是不能改变的,一个用户id,可能关联了其他的数据
解决办法1
1.数据库新加字段,登录时间戳
2.用户每次登录,都更新一下登录时间戳
3.在加密的token里面,再加一个登录时间戳字段,记录用户当前记录的登录时间戳
4.用户发来请求,检查令牌里面的登录时间戳是否和数据库一致,如果不一致,说明有其他人登录过,返回令牌失效
解决办法2
1.数据库新加字段,token
2.用户每次登录,都生成一个uuid,记录在用户数据库的token字段(uuid不会重复)
3.在加密的token令牌里面,把用户id替换成数据库的token字段
4.用户发来请求,检查令牌里面的token字段,去数据库查找,就找到了用户,如果没有找到,说明token已经被更新了,返回令牌失效文章来源:https://www.toymoban.com/news/detail-654943.html
代码
python中,有三种生成令牌的方式文章来源地址https://www.toymoban.com/news/detail-654943.html
1.pyjwt
import jwt
# 生成令牌的秘钥
secret_key = "aixlti5oa#xh8untx"
# 生成令牌
def create_token(data, key):
return jwt.encode(data, key, algorithm="HS256")
# 解密令牌
def open_token(token, key):
try:
return jwt.decode(token, key, algorithms=["HS256"])
except:
return None
# 模拟用户登录,把用户id信息制作令牌,并返回给app
user_info = {"user_id": 123}
user_token = create_token(user_info, secret_key)
print(user_token)
# 用户请求,检查令牌里是否有用户id,如果没有,说明令牌是伪造的
result = open_token(user_token, secret_key)
print(result)
2.使用低版本的itsdangerous库
from itsdangerous import TimedSerializer as Serializer
from itsdangerous import BadSignature, SignatureExpired
def generate_token(user, operation, **kwargs):
"""生成用于邮箱验证的JWT(json web token)"""
s = Serializer(current_app.config['SECRET_KEY'], expire_in)
# 待签名的数据负载
data = {'id': user.id, 'operation': operation}
data.update(**kwargs)
return s.dumps(data)
def validate_token(user, token, operation):
"""用于验证用户注册的token, 并完成相应的确认操作"""
s = Serializer(current_app.config['SECRET_KEY'])
try:
data = s.loads(token)
except (SignatureExpired, BadSignature):
return False
... # 相关字段确认
return True
————————————————
版权声明:本文为CSDN博主「空巢青年_rui」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_43863487/article/details/123784400
3.authlib
from authlib.jose import jwt, JoseError
def generate_token(user, operation, **kwargs):
"""生成用于邮箱验证的JWT(json web token)"""
# 签名算法
header = {'alg': 'HS256'}
# 用于签名的密钥
key = current_app.config['SECRET_KEY']
# 待签名的数据负载
data = {'id': user.id, 'operation': operation}
data.update(**kwargs)
return jwt.encode(header=header, payload=data, key=key)
def validate_token(user, token, operation):
"""用于验证用户注册和用户修改密码或邮箱的token, 并完成相应的确认操作"""
key = current_app.config['SECRET_KEY']
try:
data = jwt.decode(token, key)
print(data)
except JoseError:
return False
... # 其他字段确认
return True
到了这里,关于python flask 令牌token原理及代码实现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!