最安全的api接口认证

实现步骤:

1、客户端与服务器都存放着用于验证的Token字段,客户端在本地把自己的 用户名+时间戳+Token 组合进行MD5加密后生成一段新的md5-token。

2、客户端访问的时候携带:用户名、时间戳、md5-token。

3、服务端收到请求后,先判断用户名、时间戳是否合法、假设先判断发送过来的时间戳和现在的时间戳不能大于2分钟。

4、如果是在2分钟之内,到redis里查看有没有该用户为key对应的md5-token,并判断它和发送过来的md5-token是否相同,如果有相同,说明该md5-token已经请求过,不能在操作,如果没找到相同的md5-token,说明是第一次请求,把用户名为key,md5-token为vallue存入redis,存在时间设为2分钟。

5、如果以上都通过了,在去数据库取出用户名和Token字段像客户端一样的方式进行加密。对比两个加密字段,相同则通过验证。

1、例如我们在请求的url后带上 用户名+时间戳+加密的Token

客户端

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import os

BaseDir = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))

Params = {

    "server": "127.0.0.1",

    "port":8000,

    'request_timeout':30,

    "urls":{

          "asset_report_no_id":"/asset/asset_report_no_id/",

          "asset_report":"/asset/asset_report/",

        },

    'asset_id_path':'%s/var/.asset_id' % BaseDir,

    'log_file': '%s/logs/run_log' % BaseDir,

    'auth':{

        'user':'123456789@qq.com',

        'token': 'abc'

        },

}
url=http://127.0.0.1:8000/asset/
import hashlib,time

def get_token(username,token_id):

    timestamp = int(time.time())

    md5_format_str = "%s\n%s\n%s" %(username,timestamp,token_id)

    obj = hashlib.md5()

    obj.update(md5_format_str)

    print "token format:[%s]" % md5_format_str

    print "token :[%s]" % obj.hexdigest()

    return obj.hexdigest()[10:17], timestamp
def attach_token(url_str):

    '''生成一个加密验证在url后'''

    user = settings.Params['auth']['user']

    token_id = settings.Params['auth']['token']

    md5_token,timestamp = get_token(user,token_id)

    url_arg_str = "user=%s&timestamp=%s&token=%s" %(user,timestamp,md5_token)

    if "?" in url_str:

        new_url = url_str + "&" + url_arg_str

    else:

        new_url = url_str + "?" + url_arg_str

    return  new_url

#生成一个带着加密token的url

url = attach_token(url)

发送请求

data_encode = urllib.urlencode(asset_data)#asset_data为要发送的数据

req = urllib2.Request(url=url,data=data_encode)

res_data = urllib2.urlopen(req,timeout=settings.Params['request_timeout'])

callback = res_data.read()

callback = json.loads(callback)

print (callback)

服务端

2、我们给服务端写一个装饰器token_required,用来验证

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import time,hashlib,json

from asset import models

from django.shortcuts import render,HttpResponse

from cmdb import settings

from django.core.exceptions import ObjectDoesNotExist

def gen_token(username,timestamp,token):

    token_format = "%s\n%s\n%s" %(username,timestamp,token)

    obj = hashlib.md5()

    obj.update(token_format)

    return obj.hexdigest()[10:17]

def token_required(func):

    def wrapper(*args,**kwargs):

        response = {"errors":[]}

        get_args = args[0].GET

        username = get_args.get("user")

        token_md5_from_client = get_args.get("token")

        timestamp = get_args.get("timestamp")

        if not username or not timestamp or not token_md5_from_client:

            response['errors'].append({"auth_failed":"This api requires token authentication!"})

            return HttpResponse(json.dumps(response))

        try:

            if abs(time.time() - int(timestamp)) > settings.TOKEN_TIMEOUT:#验证时间有没有超过2分钟

                response['errors'].append({"auth_failed":"The token is expired!"})

            else:

                '''如果没超过两分钟,检查redis里有没有这个加密token'''

                red_result = __redies_token(username,token_md5_from_client)

                if red_result:  #等于True说明是第一次请求,进入下一步验证

                    user_obj = models.MyUser.objects.get(email=username)

                    token_md5_from_server = gen_token(username,timestamp,user_obj.token)

                    if token_md5_from_client != token_md5_from_server:

                        response['errors'].append({"auth_failed":"Invalid username or token_id"})

                    else:

                        print("通过验证")

                else:

                    response['errors'].append({"auth_failed":"The token is expired!"})

                print("\033[41;1m;%s ---client:%s\033[0m" %(time.time(),timestamp), time.time() - int(timestamp))

        except ObjectDoesNotExist as e:

            response['errors'].append({"auth_failed":"Invalid username or token_id"})

        if response['errors']:

            return HttpResponse(json.dumps(response))

        else:

            return  func(*args,**kwargs)

    return wrapper

def __redies_token(username,token_md5_from_client):

    import redis

    r = redis.Redis(host='192.168.0.109', port=6379)

    val =  r.get(username)

    if val == token_md5_from_client:

        print("是以请求过的token")

        return False

    else:#不存在,则以用户名为key,加密的token为value存入缓存,存在时间2分钟

        r.set(username, token_md5_from_client,ex=120)

        return True

最安全的api接口认证的更多相关文章

  1. API接口认证

    restful API接口可以很方便的让其他系统调用,为了让指定的用户/系统可以调用开放的接口,一般需要对接口做认证; 接口认证有两种方式: 1.认证的token当做post/get的参数,serve ...

  2. spring boot 2 集成JWT实现api接口认证

    JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...

  3. 每天一点点之laravel框架 - Laravel5.6 + Passport实现Api接口认证

    1.首先通过 Composer 包管理器安装 Passport: composer require laravel/passport 注:如果安装过程中提示需要更高版本的 Laravel:larave ...

  4. python api接口认证脚本

    import requests import sys def acces_api_with_cookie(url_login, USERNAME, PASSWORD, url_access):     ...

  5. Django项目:CMDB(服务器硬件资产自动采集系统)--03--03CMDB信息安全API接口交互认证

    #settings.py """ Django settings for AutoCmdb project. Generated by 'django-admin sta ...

  6. 03: zabbix API接口 对 主机、主机组、模板、应用集、监控项、触发器等增删改查

    目录:Django其他篇 01: 安装zabbix server 02:zabbix-agent安装配置 及 web界面管理 03: zabbix API接口 对 主机.主机组.模板.应用集.监控项. ...

  7. api接口思路介绍

    现在很流行api了,但各种api做法不一样,下面我整理了一些自己的想法,也是看了各大门户网站开放的api应用想到的,与大家分享分享,高手跳过.   API(Application Programmin ...

  8. api接口对于客户端的身份认证方式以及安全措施

    转载 基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsession ...

  9. 使用Flask设计带认证token的RESTful API接口

    大数据时代 Just a record. 使用Flask设计带认证token的RESTful API接口[翻译] 上一篇文章, 使用python的Flask实现一个RESTful API服务器端  简 ...

随机推荐

  1. hihoCoder#1127 二分图三·二分图最小点覆盖和最大独立集

    原题地址 主要是介绍了两个定理: 1. 二分图最大匹配数    = 二分图最小点覆盖数 2. 二分图最小点覆盖数 = 二分图顶点数 - 二分图最小点覆盖数 注意,都是二分图 代码:(匈牙利算法) #i ...

  2. LeetCode:不同路径&不同路径II

    不同路径一个机器人位于一个 m x n 网格的左上角 (起始点在下图中标记为“Start” ). 机器人每次只能向下或者向右移动一步.机器人试图达到网格的右下角(在下图中标记为“Finish”). 问 ...

  3. Maven的scope依赖作用域说明

    Maven的scope依赖作用域说明 1.test范围指的是测试范围有效,在编译和打包时都不会使用这个依赖 2.compile范围指的是编译范围有效,在编译和打包时都会将依赖存储进去 3.provid ...

  4. 前端学习之--html

    html 文件就是充当模板使用,包含head头和body身体,body包含众多的标签,每个标签都使用尖括号包裹,内部由标签名和标签属性构成.其中标签分为2类: 1:块级标签,特点:占用一行,如:< ...

  5. HDU 6397 组合数学+容斥 母函数

    Character Encoding Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 131072/131072 K (Java/Oth ...

  6. P2839 畅通工程

    P2839 畅通工程 题目描述 某省调查城镇交通状况,得到现有城镇道路统计表,表中列出了每条道路直接连通的城镇.省政府“畅通工程”的目标是使全省任何两个城镇间都可以实现交通(但不一定有直接的道路相连, ...

  7. Spring的@Qualifier注解

    以下内容引用自http://wiki.jikexueyuan.com/project/spring/annotation-based-configuration/spring-qualifier-an ...

  8. 【c++】面向对象程序设计之继承中的类作用域

    当存在继承关系时,派生类的作用域嵌套在其基类的作用域之内. 一个对象.引用或指针的静态类型决定了该对象的哪些成员是可见的.即使静态类型与动态类型可能不一致,但我们使用哪些成员仍然是由静态类型决定的.基 ...

  9. 非计算机专业的伟伯是怎样拿到阿里Offer的。求职励志!!!

    写在前面: 2015 年 7 月初.參加阿里巴巴校招内推, 8 月 15 日拿到研发project师 JAVA 的 offer .我的专业并不是计算机,也没有在互联网公司实习过,仅仅有一些学习和面试心 ...

  10. python爬虫(二)--了解deque

    队列-deque 有了上面一节的基础.当然你须要全然掌握上一节的全部方法,由于上一节的方法.在以下的教程中 会重复的用到. 假设你没有记住,请你返回上一节. http://blog.csdn.net/ ...