python flask 令牌token原理及代码实现

python flask 令牌token原理及代码实现 2023-09-19 486

令牌认证 token

觉得废话多，可以直接看代码代码参考：http://t..cn/Sf8km

令牌token解决了什么问题

解决http请求无状态的特性，让每次请求都有状态，知道请求是哪个用户发来的

首先要知道，http请求是无状态的也就是说，即使是同一个人发送的两次请求，服务器也是不知道是同一个人过来访问的。所以想让服务器知道请求的用户是谁，就需要用到token令牌技术了

等于是强行在http请求里面加了一个状态

理解

古代令牌是起什么作用的呢 1.制作令牌的技术，只有皇帝才会制作，其他人无法假冒 2.令牌代表某个人，见令牌如见人

其实接口的令牌技术，跟古代令牌的概念是一样的 1.令牌token只有web服务器可以制作，其他人无法假冒 2.令牌中存储用户的信息，服务器解密token后就知道这个令牌是哪个用户的令牌

原理

1.每次登录成功后，服务器把当前的用户id加密，就生成一个令牌，返回给客户 2.客户每次带着令牌去访问，服务器检验令牌，就能拿出里面的用户id，就知道是哪个用户访问的了

需要注意的是，生成令牌的操作，是只能服务器生成并解密的，如果其他人知道你的令牌生成和解密，就可以伪造token了

问题

思考一下现在的策略，是否可以满足单点登录功能

即使同时有三个不同的人，先后登录，拿到令牌，然后去访问，服务器也是不知道的因为令牌里面存储的信息，只有用户的id，服务器也是根据用户id去判断令牌是否有效而且用户id，是不能改变的，一个用户id，可能关联了其他的数据

解决办法1

1.数据库新加字段，登录时间戳 2.用户每次登录，都更新一下登录时间戳 3.在加密的token里面，再加一个登录时间戳字段，记录用户当前记录的登录时间戳 4.用户发来请求，检查令牌里面的登录时间戳是否和数据库一致，如果不一致，说明有其他人登录过，返回令牌失效

解决办法2

1.数据库新加字段，token 2.用户每次登录，都生成一个uuid，记录在用户数据库的token字段（uuid不会重复） 3.在加密的token令牌里面，把用户id替换成数据库的token字段 4.用户发来请求，检查令牌里面的token字段，去数据库查找，就找到了用户，如果没有找到，说明token已经被更新了，返回令牌失效

代码

python中，有三种生成令牌的方式

1.pyjwt

import jwt  
  
# 生成令牌的秘钥  
secret_key = "aixlti5oa#xh8untx"  
  
# 生成令牌  
def create_token(data, key):  
    return jwt.encode(data, key, algorithm="HS256")  
  
  
# 解密令牌  
def open_token(token, key):  
    try:  
        return jwt.decode(token, key, algorithms=["HS256"])  
    except:  
        return None  
  
  
# 模拟用户登录，把用户id信息制作令牌，并返回给app  
user_info = {
          
   "user_id": 123}  
user_token = create_token(user_info, secret_key)  
print(user_token)  
  
# 用户请求，检查令牌里是否有用户id，如果没有，说明令牌是伪造的  
result = open_token(user_token, secret_key)  
print(result)

2.使用低版本的itsdangerous库

3.authlib

from authlib.jose import jwt, JoseError

def generate_token(user, operation, **kwargs):
    """生成用于邮箱验证的JWT（json web token）"""
    # 签名算法
    header = {
          
   alg: HS256}
    # 用于签名的密钥
    key = current_app.config[SECRET_KEY]
    # 待签名的数据负载
    data = {
          
   id: user.id, operation: operation}
    data.update(**kwargs)

    return jwt.encode(header=header, payload=data, key=key)


def validate_token(user, token, operation):
    """用于验证用户注册和用户修改密码或邮箱的token, 并完成相应的确认操作"""
    key = current_app.config[SECRET_KEY]

    try:
        data = jwt.decode(token, key)
        print(data)
    except JoseError:
        return False
    ... # 其他字段确认
    return True

免费搭建微信查券返利机器人来轻松赚佣金

文章来自:IT技术分享网
分享地址:http://www.5ityx.cn/cate113/296637.html

上一篇：使用Jedis连接阿里云服务器的redis

下一篇： Tomcat HTTP Status 404 tomcat 404问题解决