验证过程:每一个中控机有一个key,然后获取到当前时间戳。把key和当前时间戳这两个值进行一次加密,加密之后得到加密的戳,把加密的戳和当前获取的时间戳用管道符分割开生成一个大的字符串(加密戳|时间戳)后,发到服务器端。服务器端也有一个跟中控机一样的key,再把从客户端传过来的时间戳拿来跟key进行一次加密后做比较确定是否一样。但这种方式有漏洞,假如别人在中间获取了你的url之后就会永远向你发数据,所以在这个基础上加了一个超时时间和访问记录做限制。
a. 时间超时
b. 访问记录
c. 加密后进行比较
~~
(1)URL:django_api\django_api\urls.py

from django.conf.urls import url,include

from django.contrib import admin

urlpatterns = [

    url(r'^admin/', admin.site.urls),

    url(r'^api/', include('api.urls')),  #以api开头转发到api项目里的url

]

(2)URL:django_api\api\urls.py

from django.conf.urls import url,include

from django.contrib import admin

from . import views

urlpatterns = [

    url(r'^asset/', views.asset),

]

(3)视图函数:django_api\api\views.py

#验证了三层:1.时间,2在这个时间以内是否来过,3.反解进行验证

from django.shortcuts import render,HttpResponse

from django.views.decorators.csrf import csrf_exempt,csrf_protect   #关掉csrf

import hashlib

import time

ck = "8kasoimnasodn8687asdfkmasdf"

auth_list=[]                                                #定义空列表(要用缓存服务器做超时时间)

@csrf_exempt                                                #不受csrf保护

def asset(request):                                        #所有请求都封装在request对象里

    # print(request.method)                                 #打印接收什么方式提交

    # print(request.POST)

    # print(request.GET)

    # print(request.body)                                   #POST接收json序列化的数据后

    auth_key_time = request.META['HTTP_AUTHKEY']          #authkey_time是客户端发来的md5+key十六进制数据字符串值+客户端的时间戳的字符串

    auth_key_client,client_ctime = auth_key_time.split('|') #auth_key_client是客户端传md5+key,client_ctime客户端的时间戳的字符串+客户端传的时间戳

    server_current_time = time.time()                       #获取服务器当前时间戳字符串

    if server_current_time-5 > float(client_ctime):       #服务端当前时间戳往后推300秒还大于客户端发过来的时间戳

       return HttpResponse('时间太久远了')                #时间太久远了,直接忽略掉

    if auth_key_time in auth_list:                         #如果authkey_time在列表auth_list说明之前访问过了

       return HttpResponse('你来晚了')

    #如果上面验证成功了下面没成功说明用户自己写了一大堆key

    key_time = "%s|%s" %(ck,client_ctime,)                 #ck:本地的key,客户端传的时间戳

    m = hashlib.md5()

    m.update(bytes(key_time, encoding='utf-8'))            #把md5+key | 当前时间戳加进来

    authkey = m.hexdigest()                                 #生成一个md5+key+当前时间戳的字符串

    if authkey != auth_key_client:                          #如果本地的authkey跟客户端发来的auth_key_client不等于

        return HttpResponse('授权失败')

    auth_list.append(auth_key_time)                         #验证成功的加到访问过的列表auth_list里

    print(auth_list)

    if request.method == 'POST':                                    #如果接收的是POST方式

        import json

        host_info = json.loads(str(request.body,encoding='utf-8'))   #反序列化

        print(host_info)

    return HttpResponse('成功')

启动api后等待客户端发数据:
(1)客户端代码:

import requests

import hashlib                                         #md5

import time

current_time = time.time()                              #当前时间戳

app_id = "8kasoimnasodn8687asdfkmasdf"             #key

app_id_time = "%s|%s" %(app_id,current_time,)          #拼接成:key | 当前时间戳

m = hashlib.md5()                                       #调用hashlib里的md5()生成一个md5的hash对象赋值m

m.update(bytes(app_id_time,encoding='utf-8'))          #用update方法对字符串app_id_time进行md5加密的更新处理

authkey = m.hexdigest()                                 #生成一个md5+key的十六进制数据字符串值

authkey_time = "%s|%s" %(authkey,current_time,)        #authkey_time是md5+key十六进制数据字符串值 | 当前时间戳的字符串

print(authkey_time)

host_data = {                                           #取的主机信息

    'status': True,

    'data':{

        'hostname': 'c1.com',

        'disk': {'status':True,'data': 'xxx'},

        'mem': {'status':True,'data': 'xxx'},

    }

}

response = requests.post(                               #requests模块以post方式把host_data发http请求,response拿到发送后的返回值(http发送后返回的所有的值)

    url='http://127.0.0.1:8080/api/asset/',

    json=host_data,                                     #json把字典序列化成字符串后把host_data请求体POST形式传值到body

    headers={'authkey': authkey_time}                 #请求头headers放验证信息:authkeymd5+key+当前时间戳的字符串,authkey_time是md5+key+当前时间戳的字符串 | 当前时间戳的字符串

)

print(response.text)                                    #打印返回的值

执行客户端后服务端接收数据:
['eb7259b288e686c0ad09e3ab8bdf049e|1554365241.2854595']
{'status': True, 'data': {'hostname': 'c1.com', 'mem': {'status': True, 'data': 'xxx'}, 'disk': {'status': True, 'data': 'xxx'}}}
客户端返回:
eb7259b288e686c0ad09e3ab8bdf049e|1554365241.2854595
成功

Django-api认证的更多相关文章

  1. Python开发【Django】:日志记录、API认证

    日志记录: 调用同一个对象,分别记录错误日志和运行日志 自定义日志类: class Logger(object): __instance = None def __init__(self): self ...

  2. Django REST framework 之 API认证

    RESTful API 认证 和 Web 应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权 ...

  3. 05: api认证

    1.1 api认证原理介绍 1.api认证原理:客户端生成秘钥 1) 客户端与服务器端有一个相同的字符串作为auth_key 2) 客户端使用encryption="auth_key|tim ...

  4. django 自定义认证

    在Django中自定义身份验证 Django 自带的认证系统足够应付大多数情况,但你或许不打算使用现成的认证系统.定制自己的项目的权限系统需要了解哪些一些关键点,即Django中哪些部分是能够扩展或替 ...

  5. DRF比Django的认证和权限高在哪里

    Django可以用LoginRequiredMixin和PermissionRequiredMixin给类视图添加认证和权限,DRF做了高级封装,提供了更简洁的实现方式.我们通过继续学习官网教程来进行 ...

  6. [django]用户认证中只允许登陆用户访问(网页安全问题)

    当设计一个重要网页时,一般要求未从登陆界面访问的用户不能进入其他页面,那么需要如何设置呢? 如下 django中的url.py urlpatterns = [    url(r'^$', 'login ...

  7. [ Laravel 5.3 文档 ] 安全 ―― API认证(Passport)保障安全性。

    1.简介 Laravel通过传统的登录表单已经让用户认证变得很简单,但是API怎么办?API通常使用token进行认证并且在请求之间不维护session状态.Laravel使用LaravelPassp ...

  8. Django 用户认证及OneToOneField

    Django 用户认证如果自己不想写 就可以用django自带的认证 首选导入模块 models.py #!/usr/bin/env python #_*_ coding:utf8 _*_ from ...

  9. laravel Passport - 创建 REST API 用户认证以及Dingo/Api v2.0+Passport实现api认证

    第一部分: 安装passport 使⽤ Composer 依赖包管理器安装 Passport : composer require laravel/passport 接下来,将 Passport 的服 ...

  10. django用户认证系统——拓展 User 模型

    Django 用户认证系统提供了一个内置的 User 对象,用于记录用户的用户名,密码等个人信息.对于 Django 内置的 User 模型, 仅包含以下一些主要的属性: username,即用户名 ...

随机推荐

  1. go-ethereum源码分析 PartIII 共识流程

    A: js指令转化为新transaction 在web3上操作流程 1. import to web3 2. connect to peers 3. read local key store 4. d ...

  2. [宽度优先搜索] FZU-2150 Fire Game

    Fat brother and Maze are playing a kind of special (hentai) game on an N*M board (N rows, M columns) ...

  3. jdk和cglib动态代理

    一.原理区别:java动态代理是利用反射机制生成一个实现代理接口的匿名类,在调用具体方法前调用InvokeHandler来处理. 而cglib动态代理是利用asm开源包,对代理对象类的class文件加 ...

  4. erlang并发编程(二)

    补充-------erlang并发编程 Pid =spawn(fun()-> do_sth() end). 进程监视: Ref = monitor(process, Pid)靠抛异常来终结进程 ...

  5. python3.5+selenium3环境搭建

    windows环境下的操作(例子中的浏览器以火狐浏览器为例,IE和谷歌与此浏览器同理): 准备工具如下: 下载python[python开发环境]:http://python.org/getit/ 下 ...

  6. LeetCode 102 二叉树的层次遍历

    题目: 给定一个二叉树,返回其按层次遍历的节点值. (即逐层地,从左到右访问所有节点). 例如:给定二叉树: [3,9,20,null,null,15,7], 3 / \ 9 20 / \ 15 7 ...

  7. Asp.Net Core MongoDB

    废话不说直接上代码: using MongoDB.Bson.Serialization.Attributes; namespace XL.Core.MongoDB { public interface ...

  8. MAC安装flutter开发环境

    #最近在学flutter开发,写一篇记录一下安装的过程 1.配置flutter镜像地址  vim ~/.bash_profile 命令行输入后回车,打开.bash_profile配置镜像地址 expo ...

  9. java基础知识—抽象和封装

    1.从现实中抽象出类的步骤: 1)找出它的种类--类名 2)找出它的属性--字段的名称 3)找出它的行为--方法名 2.抽象的原则:根据面向对象的思想抽象出类. 3.类图的好处:直观.容易理解. 4. ...

  10. Docker install GitLab

    示范一下如何透过Docker安装GitLab,也顺便将一些常用的东西纪录一下 作业系统: CentOS 7 安装Docker CE 1. 先移除系统上预先安装的Docker旧版本 yum remove ...