當(dāng)前位置：首頁(yè) > 编程语言 > python >内容正文

python

python token 访问控制_python 产生token及token验证

發(fā)布時(shí)間：2023/12/15 python 34 豆豆

生活随笔收集整理的這篇文章主要介紹了 python token 访问控制_python 产生token及token验证小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

1.前言

最近在做微信公眾號(hào)開發(fā)在進(jìn)行網(wǎng)頁(yè)授權(quán)時(shí)，微信需要用戶自己在授權(quán)url中帶上一個(gè)類似token的state的參數(shù)，以防止跨站攻擊。

在經(jīng)過(guò)再三思考之后，自己試著實(shí)現(xiàn)一個(gè)產(chǎn)生token和驗(yàn)證token的方案。接下就把code貼出來(lái)。希望讀者指導(dǎo)一下。

2.產(chǎn)生token

原理:

通過(guò)hmac sha1 算法產(chǎn)生用戶給定的key和token的最大過(guò)期時(shí)間戳的一個(gè)消息摘要，

將這個(gè)消息摘要和最大過(guò)期時(shí)間戳通過(guò)":"拼接起來(lái)，再進(jìn)行base64編碼，生成最終的token

實(shí)現(xiàn):

import time

import base64

import hmac

def generate_token(key, expire=3600):

r'''

@Args:

key: str (用戶給定的key，需要用戶保存以便之后驗(yàn)證token,每次產(chǎn)生token時(shí)的key 都可以是同一個(gè)key)

expire: int(最大有效時(shí)間，單位為s)

@Return:

state: str

'''

ts_str = str(time.time() + expire)

ts_byte = ts_str.encode("utf-8")

sha1_tshexstr = hmac.new(key.encode("utf-8"),ts_byte,'sha1').hexdigest()

token = ts_str+':'+sha1_tshexstr

b64_token = base64.urlsafe_b64encode(token.encode("utf-8"))

return b64_token.decode("utf-8")

3.驗(yàn)證token

原理:

將token進(jìn)行base64解碼,通過(guò)token得到token最大過(guò)期時(shí)間戳和消息摘要。判斷token是否過(guò)期。

如沒(méi)過(guò)期才將從token中的取得最大過(guò)期時(shí)間戳進(jìn)行hmac sha1 算法運(yùn)算(注意這里的key要與產(chǎn)生token的key要相同)，

最后將產(chǎn)生的摘要與通過(guò)token取得消息摘要進(jìn)行對(duì)比，如果兩個(gè)摘要相等，則token有效，否則token無(wú)效。

實(shí)現(xiàn)：

import time

import base64

import hmac

def certify_token(key, token):

r'''

@Args:

key: str

token: str

@Returns:

boolean

'''

token_str = base64.urlsafe_b64decode(state).decode('utf-8')

token_list = token_str.split(':')

if len(token_list) != 2:

return False

ts_str = token_list[0]

if float(ts_str) < time.time():

# token expired

return False

known_sha1_tsstr = token_list[1]

sha1 = hmac.new(key.encode("utf-8"),ts_str.encode('utf-8'),'sha1')

calc_sha1_tsstr = sha1.hexdigest()

if calc_sha1_tsstr != known_sha1_tsstr:

# token certification failed

return False

# token certification success

return True

4.用法

key = "JD98Dskw=23njQndW9D"

# 一小時(shí)后過(guò)期

token = generate_token(key, 3600)

certify_token(key, token)

5.Note!!!

本代碼只能在python3.x 中運(yùn)行，

總結(jié)

以上是生活随笔為你收集整理的python token 访问控制_python 产生token及token验证的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： lombok插件_lombok插件，让代
下一篇： python开发多平台app_djang