验证过程:每一个中控机有一个key,然后获取到当前时间戳。把key和当前时间戳这两个值进行一次加密,加密之后得到加密的戳,把加密的戳和当前获取的时间戳用管道符分割开生成一个大的字符串(加密戳|时间戳)后,发到服务器端。服务器端也有一个跟中控机一样的key,再把从客户端传过来的时间戳拿来跟key进行一次加密后做比较确定是否一样。但这种方式有漏洞,假如别人在中间获取了你的url之后就会永远向你发数据,所以在这个基础上加了一个超时时间和访问记录做限制。
a. 时间超时
b. 访问记录
c. 加密后进行比较
~~
(1)URL:django_api\django_api\urls.py

from django.conf.urls import url,include

from django.contrib import admin

urlpatterns = [

    url(r'^admin/', admin.site.urls),

    url(r'^api/', include('api.urls')),  #以api开头转发到api项目里的url

]

(2)URL:django_api\api\urls.py

from django.conf.urls import url,include

from django.contrib import admin

from . import views

urlpatterns = [

    url(r'^asset/', views.asset),

]

(3)视图函数:django_api\api\views.py

#验证了三层:1.时间,2在这个时间以内是否来过,3.反解进行验证

from django.shortcuts import render,HttpResponse

from django.views.decorators.csrf import csrf_exempt,csrf_protect   #关掉csrf

import hashlib

import time

ck = "8kasoimnasodn8687asdfkmasdf"

auth_list=[]                                                #定义空列表(要用缓存服务器做超时时间)

@csrf_exempt                                                #不受csrf保护

def asset(request):                                        #所有请求都封装在request对象里

    # print(request.method)                                 #打印接收什么方式提交

    # print(request.POST)

    # print(request.GET)

    # print(request.body)                                   #POST接收json序列化的数据后

    auth_key_time = request.META['HTTP_AUTHKEY']          #authkey_time是客户端发来的md5+key十六进制数据字符串值+客户端的时间戳的字符串

    auth_key_client,client_ctime = auth_key_time.split('|') #auth_key_client是客户端传md5+key,client_ctime客户端的时间戳的字符串+客户端传的时间戳

    server_current_time = time.time()                       #获取服务器当前时间戳字符串

    if server_current_time-5 > float(client_ctime):       #服务端当前时间戳往后推300秒还大于客户端发过来的时间戳

       return HttpResponse('时间太久远了')                #时间太久远了,直接忽略掉

    if auth_key_time in auth_list:                         #如果authkey_time在列表auth_list说明之前访问过了

       return HttpResponse('你来晚了')

    #如果上面验证成功了下面没成功说明用户自己写了一大堆key

    key_time = "%s|%s" %(ck,client_ctime,)                 #ck:本地的key,客户端传的时间戳

    m = hashlib.md5()

    m.update(bytes(key_time, encoding='utf-8'))            #把md5+key | 当前时间戳加进来

    authkey = m.hexdigest()                                 #生成一个md5+key+当前时间戳的字符串

    if authkey != auth_key_client:                          #如果本地的authkey跟客户端发来的auth_key_client不等于

        return HttpResponse('授权失败')

    auth_list.append(auth_key_time)                         #验证成功的加到访问过的列表auth_list里

    print(auth_list)

    if request.method == 'POST':                                    #如果接收的是POST方式

        import json

        host_info = json.loads(str(request.body,encoding='utf-8'))   #反序列化

        print(host_info)

    return HttpResponse('成功')

启动api后等待客户端发数据:
(1)客户端代码:

import requests

import hashlib                                         #md5

import time

current_time = time.time()                              #当前时间戳

app_id = "8kasoimnasodn8687asdfkmasdf"             #key

app_id_time = "%s|%s" %(app_id,current_time,)          #拼接成:key | 当前时间戳

m = hashlib.md5()                                       #调用hashlib里的md5()生成一个md5的hash对象赋值m

m.update(bytes(app_id_time,encoding='utf-8'))          #用update方法对字符串app_id_time进行md5加密的更新处理

authkey = m.hexdigest()                                 #生成一个md5+key的十六进制数据字符串值

authkey_time = "%s|%s" %(authkey,current_time,)        #authkey_time是md5+key十六进制数据字符串值 | 当前时间戳的字符串

print(authkey_time)

host_data = {                                           #取的主机信息

    'status': True,

    'data':{

        'hostname': 'c1.com',

        'disk': {'status':True,'data': 'xxx'},

        'mem': {'status':True,'data': 'xxx'},

    }

}

response = requests.post(                               #requests模块以post方式把host_data发http请求,response拿到发送后的返回值(http发送后返回的所有的值)

    url='http://127.0.0.1:8080/api/asset/',

    json=host_data,                                     #json把字典序列化成字符串后把host_data请求体POST形式传值到body

    headers={'authkey': authkey_time}                 #请求头headers放验证信息:authkeymd5+key+当前时间戳的字符串,authkey_time是md5+key+当前时间戳的字符串 | 当前时间戳的字符串

)

print(response.text)                                    #打印返回的值

执行客户端后服务端接收数据:
['eb7259b288e686c0ad09e3ab8bdf049e|1554365241.2854595']
{'status': True, 'data': {'hostname': 'c1.com', 'mem': {'status': True, 'data': 'xxx'}, 'disk': {'status': True, 'data': 'xxx'}}}
客户端返回:
eb7259b288e686c0ad09e3ab8bdf049e|1554365241.2854595
成功

Django-api认证的更多相关文章

  1. Python开发【Django】:日志记录、API认证

    日志记录: 调用同一个对象,分别记录错误日志和运行日志 自定义日志类: class Logger(object): __instance = None def __init__(self): self ...

  2. Django REST framework 之 API认证

    RESTful API 认证 和 Web 应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权 ...

  3. 05: api认证

    1.1 api认证原理介绍 1.api认证原理:客户端生成秘钥 1) 客户端与服务器端有一个相同的字符串作为auth_key 2) 客户端使用encryption="auth_key|tim ...

  4. django 自定义认证

    在Django中自定义身份验证 Django 自带的认证系统足够应付大多数情况,但你或许不打算使用现成的认证系统.定制自己的项目的权限系统需要了解哪些一些关键点,即Django中哪些部分是能够扩展或替 ...

  5. DRF比Django的认证和权限高在哪里

    Django可以用LoginRequiredMixin和PermissionRequiredMixin给类视图添加认证和权限,DRF做了高级封装,提供了更简洁的实现方式.我们通过继续学习官网教程来进行 ...

  6. [django]用户认证中只允许登陆用户访问(网页安全问题)

    当设计一个重要网页时,一般要求未从登陆界面访问的用户不能进入其他页面,那么需要如何设置呢? 如下 django中的url.py urlpatterns = [    url(r'^$', 'login ...

  7. [ Laravel 5.3 文档 ] 安全 ―― API认证(Passport)保障安全性。

    1.简介 Laravel通过传统的登录表单已经让用户认证变得很简单,但是API怎么办?API通常使用token进行认证并且在请求之间不维护session状态.Laravel使用LaravelPassp ...

  8. Django 用户认证及OneToOneField

    Django 用户认证如果自己不想写 就可以用django自带的认证 首选导入模块 models.py #!/usr/bin/env python #_*_ coding:utf8 _*_ from ...

  9. laravel Passport - 创建 REST API 用户认证以及Dingo/Api v2.0+Passport实现api认证

    第一部分: 安装passport 使⽤ Composer 依赖包管理器安装 Passport : composer require laravel/passport 接下来,将 Passport 的服 ...

  10. django用户认证系统——拓展 User 模型

    Django 用户认证系统提供了一个内置的 User 对象,用于记录用户的用户名,密码等个人信息.对于 Django 内置的 User 模型, 仅包含以下一些主要的属性: username,即用户名 ...

随机推荐

  1. git add.后回退 代码丢失

    记录一次操作git丢失代码的过程: 写完代码后:git staus git add. git status 发现有一堆.class 文件不想提交,想着代码回退到add 之前,使用了 git log 开 ...

  2. 设置tomcat支持软连接

    一般开发时不会在tomcat安装目录/data/tomcat/webapps/ROOT 下去,上传部署:而是建立软连接,在tomcat安装目录之外操作,比如执行git pull拉取项目,而tomcat ...

  3. ansible-play变量的基本应用

    --- - host: appsrvs remote_user: root tasks: - name: install package yum: name={{ pkname }} - name: ...

  4. java 的序列化与反序列化

    前言: 一直很不理解java的序列化的概念,为什么java对象的序列化要实现 Serializable的接口?或者要实现Externalizable的接口?而且Externalizable 的父类还是 ...

  5. RBAC角色权限设计

    https://www.cnblogs.com/vinozly/p/4851364.html

  6. 设计模式二之观察者模式(Subject-Observer)

    观察者模式定义了一系列对象之间的一对多关系,当一个主题对象改变状态,其他所有的依赖者都会收到通知. 好了,你可能会觉得上面的描述略微复杂,较难理解,那么现在我们将用一个简单的例子去讲解这个模式. 我们 ...

  7. 算数运算符& 关系运算符

    java中的算数运算符 + - * / % ++ -- + +: 加法运算符 - : 减法运算符 *: 乘法运算符 / : 除法运算符 注意: 除数不能为0,除数为0会报出异常 整数运算默认得到整数, ...

  8. Java赋值

    public class Car { 方法1: private String 品牌="初始化值"; private String 价格; 方法2: public Car(Strin ...

  9. Spring源码学习(8)——SpringMVC

    spring框架提供了构建Web应用程序的全功能MVC模块.通过实现servlet接口的DispatcherServlet来封装其核心功能实现,通过将请求分派给处理程序,同时带有可配置的处理程序映射. ...

  10. JS中的加减乘除和比较赋值

    隐式类型转换 使用Boolean(), Number(), String()去转换数据类型的方法叫显示类型转换,而与它相对的就是隐式类型转换,隐式类型转换并没有明显的标志,而是JS解释器觉得做这样一个 ...