验证过程:每一个中控机有一个key,然后获取到当前时间戳。把key和当前时间戳这两个值进行一次加密,加密之后得到加密的戳,把加密的戳和当前获取的时间戳用管道符分割开生成一个大的字符串(加密戳|时间戳)后,发到服务器端。服务器端也有一个跟中控机一样的key,再把从客户端传过来的时间戳拿来跟key进行一次加密后做比较确定是否一样。但这种方式有漏洞,假如别人在中间获取了你的url之后就会永远向你发数据,所以在这个基础上加了一个超时时间和访问记录做限制。
a. 时间超时
b. 访问记录
c. 加密后进行比较
~~
(1)URL:django_api\django_api\urls.py

from django.conf.urls import url,include

from django.contrib import admin

urlpatterns = [

    url(r'^admin/', admin.site.urls),

    url(r'^api/', include('api.urls')),  #以api开头转发到api项目里的url

]

(2)URL:django_api\api\urls.py

from django.conf.urls import url,include

from django.contrib import admin

from . import views

urlpatterns = [

    url(r'^asset/', views.asset),

]

(3)视图函数:django_api\api\views.py

#验证了三层:1.时间,2在这个时间以内是否来过,3.反解进行验证

from django.shortcuts import render,HttpResponse

from django.views.decorators.csrf import csrf_exempt,csrf_protect   #关掉csrf

import hashlib

import time

ck = "8kasoimnasodn8687asdfkmasdf"

auth_list=[]                                                #定义空列表(要用缓存服务器做超时时间)

@csrf_exempt                                                #不受csrf保护

def asset(request):                                        #所有请求都封装在request对象里

    # print(request.method)                                 #打印接收什么方式提交

    # print(request.POST)

    # print(request.GET)

    # print(request.body)                                   #POST接收json序列化的数据后

    auth_key_time = request.META['HTTP_AUTHKEY']          #authkey_time是客户端发来的md5+key十六进制数据字符串值+客户端的时间戳的字符串

    auth_key_client,client_ctime = auth_key_time.split('|') #auth_key_client是客户端传md5+key,client_ctime客户端的时间戳的字符串+客户端传的时间戳

    server_current_time = time.time()                       #获取服务器当前时间戳字符串

    if server_current_time-5 > float(client_ctime):       #服务端当前时间戳往后推300秒还大于客户端发过来的时间戳

       return HttpResponse('时间太久远了')                #时间太久远了,直接忽略掉

    if auth_key_time in auth_list:                         #如果authkey_time在列表auth_list说明之前访问过了

       return HttpResponse('你来晚了')

    #如果上面验证成功了下面没成功说明用户自己写了一大堆key

    key_time = "%s|%s" %(ck,client_ctime,)                 #ck:本地的key,客户端传的时间戳

    m = hashlib.md5()

    m.update(bytes(key_time, encoding='utf-8'))            #把md5+key | 当前时间戳加进来

    authkey = m.hexdigest()                                 #生成一个md5+key+当前时间戳的字符串

    if authkey != auth_key_client:                          #如果本地的authkey跟客户端发来的auth_key_client不等于

        return HttpResponse('授权失败')

    auth_list.append(auth_key_time)                         #验证成功的加到访问过的列表auth_list里

    print(auth_list)

    if request.method == 'POST':                                    #如果接收的是POST方式

        import json

        host_info = json.loads(str(request.body,encoding='utf-8'))   #反序列化

        print(host_info)

    return HttpResponse('成功')

启动api后等待客户端发数据:
(1)客户端代码:

import requests

import hashlib                                         #md5

import time

current_time = time.time()                              #当前时间戳

app_id = "8kasoimnasodn8687asdfkmasdf"             #key

app_id_time = "%s|%s" %(app_id,current_time,)          #拼接成:key | 当前时间戳

m = hashlib.md5()                                       #调用hashlib里的md5()生成一个md5的hash对象赋值m

m.update(bytes(app_id_time,encoding='utf-8'))          #用update方法对字符串app_id_time进行md5加密的更新处理

authkey = m.hexdigest()                                 #生成一个md5+key的十六进制数据字符串值

authkey_time = "%s|%s" %(authkey,current_time,)        #authkey_time是md5+key十六进制数据字符串值 | 当前时间戳的字符串

print(authkey_time)

host_data = {                                           #取的主机信息

    'status': True,

    'data':{

        'hostname': 'c1.com',

        'disk': {'status':True,'data': 'xxx'},

        'mem': {'status':True,'data': 'xxx'},

    }

}

response = requests.post(                               #requests模块以post方式把host_data发http请求,response拿到发送后的返回值(http发送后返回的所有的值)

    url='http://127.0.0.1:8080/api/asset/',

    json=host_data,                                     #json把字典序列化成字符串后把host_data请求体POST形式传值到body

    headers={'authkey': authkey_time}                 #请求头headers放验证信息:authkeymd5+key+当前时间戳的字符串,authkey_time是md5+key+当前时间戳的字符串 | 当前时间戳的字符串

)

print(response.text)                                    #打印返回的值

执行客户端后服务端接收数据:
['eb7259b288e686c0ad09e3ab8bdf049e|1554365241.2854595']
{'status': True, 'data': {'hostname': 'c1.com', 'mem': {'status': True, 'data': 'xxx'}, 'disk': {'status': True, 'data': 'xxx'}}}
客户端返回:
eb7259b288e686c0ad09e3ab8bdf049e|1554365241.2854595
成功

Django-api认证的更多相关文章

  1. Python开发【Django】:日志记录、API认证

    日志记录: 调用同一个对象,分别记录错误日志和运行日志 自定义日志类: class Logger(object): __instance = None def __init__(self): self ...

  2. Django REST framework 之 API认证

    RESTful API 认证 和 Web 应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权 ...

  3. 05: api认证

    1.1 api认证原理介绍 1.api认证原理:客户端生成秘钥 1) 客户端与服务器端有一个相同的字符串作为auth_key 2) 客户端使用encryption="auth_key|tim ...

  4. django 自定义认证

    在Django中自定义身份验证 Django 自带的认证系统足够应付大多数情况,但你或许不打算使用现成的认证系统.定制自己的项目的权限系统需要了解哪些一些关键点,即Django中哪些部分是能够扩展或替 ...

  5. DRF比Django的认证和权限高在哪里

    Django可以用LoginRequiredMixin和PermissionRequiredMixin给类视图添加认证和权限,DRF做了高级封装,提供了更简洁的实现方式.我们通过继续学习官网教程来进行 ...

  6. [django]用户认证中只允许登陆用户访问(网页安全问题)

    当设计一个重要网页时,一般要求未从登陆界面访问的用户不能进入其他页面,那么需要如何设置呢? 如下 django中的url.py urlpatterns = [    url(r'^$', 'login ...

  7. [ Laravel 5.3 文档 ] 安全 ―― API认证(Passport)保障安全性。

    1.简介 Laravel通过传统的登录表单已经让用户认证变得很简单,但是API怎么办?API通常使用token进行认证并且在请求之间不维护session状态.Laravel使用LaravelPassp ...

  8. Django 用户认证及OneToOneField

    Django 用户认证如果自己不想写 就可以用django自带的认证 首选导入模块 models.py #!/usr/bin/env python #_*_ coding:utf8 _*_ from ...

  9. laravel Passport - 创建 REST API 用户认证以及Dingo/Api v2.0+Passport实现api认证

    第一部分: 安装passport 使⽤ Composer 依赖包管理器安装 Passport : composer require laravel/passport 接下来,将 Passport 的服 ...

  10. django用户认证系统——拓展 User 模型

    Django 用户认证系统提供了一个内置的 User 对象,用于记录用户的用户名,密码等个人信息.对于 Django 内置的 User 模型, 仅包含以下一些主要的属性: username,即用户名 ...

随机推荐

  1. error connecting to master 'repl@192.168.1.107:3306' - retry-time: 60 retries: 86400

    很多时候,就算thread 正在进行,也不代表没有错误,一定要看看具体表示错误的变量 mysql> show slave status\G *************************** ...

  2. JAVA如何request没有参数的post提交

    过去做网页的时候 post过来的值都是带参的 我就request.getParameter("")来获取 现在过来的不带参 就一串字符串 我应该怎么获取? //用获取数据流的方式, ...

  3. HFun.快速开发平台(四)=》自定义列表实例(请求参数的处理)

    上编自定义列表描述了自定义列表的基本实现功能,本此记录列表的请求过程. 个人比较喜欢对参数进行对象化,方便后续人维护及查看,先上代码: /******************************* ...

  4. sql 约束Check中使用Case函数

    CHECK 约束用于限制列中的值的范围 在Check中使用Case函数在很多情况下都是非常不错的解决方法.可能有很多人根本就不用Check,那么我建议你在看过下面的例子之后也尝试一下在SQL中使用Ch ...

  5. linux中常见的命令

    linux 中的命令非常多,但是玩过linux的人也从来不会因为Linux的命令如此之多而烦恼,我们只需要掌握其中常见的命令即可,可以在使用时去找man,会帮助你解决不少问题.下面就列出一些常见的li ...

  6. 模块化 Sea.js(CMD)规范 RequireJS(AMD)规范 的用法

    插入第三方库AMD CMD都 一样  如:JQ(再JQ源码里修改) 使用seajs的步骤 1.HTML里引入seajs <script src="./lib/sea.js"& ...

  7. placeholder是H5的一个新属性,但是在IE9以下是不支持的

    $(function() { // 如果不支持placeholder,用jQuery来完成 if(!isSupportPlaceholder()) { // 遍历所有input对象, 除了密码框 $( ...

  8. Protege4.3 添加Rules 栏

    SWRL rules can be edited in Protégé 4, but not with a nice interface like in Protégé 3. If you go to ...

  9. Redis安装以及Java客户端jedis连接不上相关问题解决

    安装步骤 1.由于Redis是由C 语言编写的 所以虚拟机编译需要C的编译环境 用命令 yum install gcc-c++ 2.用SFTP上传Redis安装包并解压 3.进入Redis源码目录 b ...

  10. maven项目-修复Plugin execution not covered by lifecycle configuration: org.codehaus.mojo:build-helper-maven-plugin:1.8:add-resource (execution: add-resource, phase: generate-resources) pom.xml报错

    1:pom.xml代码 <plugin> <groupId>org.codehaus.mojo</groupId> <artifactId>build- ...