客户端向服务器发送请求时,在请求头添加自定义的字符串

客户端的加密方式

1.对key+time进行md5加密

2.发送的时候的格式为md5_key|time,将时间也发送过去

服务器端验证

1.获取加密的字符串,md5_key | time

2.判断时间time是否超时

3.验证md5_key

4.判断md5_key 在短时间内是否访问过,用redis,访问过则不通过

client

import time

import hashlib

import requests

# 每台client都有一个key,跟server对应

ENCRYPTION_KEY= 'abcdedf'

now_time = time.time()

# key的格式定义

key = "%s|%s" %(ENCRYPTION_KEY ,now_time)

# md5加密

md5 = hashlib.md5()

md5.update(key.encode('utf-8'))

new_key = md5.hexdigest()

# 发送加密字符串的格式

send_key = "%s|%s" %(new_key ,now_time)

headers = {"clientkey" :send_key}

print(headers)

r = requests.get("http://127.0.0.1:8000/api/asset.html",headers=headers)

print(r.text)

server

import time

from functools import wraps

from django.conf import settings

import hashlib

key_dict = {}

# Create your views here.

def check_key(func):

    @wraps(func)

    def inner(request):

        accept_key = request.META.get("HTTP_CLIENTKEY", None)

        if not accept_key:

            return HttpResponse("非法链接")

        else:

            now_time = time.time()

            old_md5_key, old_time = accept_key.split('|')

            float_old_time = float(old_time)

            # 判断时间是否超时

            if now_time - float_old_time > 10:

                return  HttpResponse("超时")

            else:

                # 判断md5是否正确

                key = "%s|%s" % (settings.AC_KEY, old_time)

                md5 = hashlib.md5()

                md5.update(key.encode('utf-8'))

                new_md5_key = md5.hexdigest()

                if new_md5_key != old_md5_key:

                    return HttpResponse("加密的key有误")

                # 循环字典,删除超过10秒的key

                for t in list(key_dict.keys()):

                    if now_time - key_dict[t] > 10:

                        del key_dict[t]

                # 判断10秒内是否访问过

                if old_md5_key in key_dict:

                    return HttpResponse("已经访问过")

                key_dict[old_md5_key] = now_time

        r = func(request)

        return r

    return inner

【CMDB】API传输验证的更多相关文章

  1. CMDB API验证

    CMDB API验证 为什么做API验证 API验证是防止数据在传输的过程中,保证数据不被篡改 如何设计的API验证 灵感来源于Torando中加密Cookie的源码,主要是生成加密的随机字符串. M ...

  2. Python API简单验证

    前言 因为CMDB内部的需求,需要一个API进行数据传输,用来传递需要抓取的服务端信息信息给抓取的autoclient,autoclient抓取好之后再通过API传输到服务器,保存到数据库.但是为了防 ...

  3. CMDB资产管理系统开发【day27】:cmdb API安全认证

    1.API验证分析 API三关验证 客户端和服务端中都存放一份相同的随机字符串,客户端发请求的时候把随机字符串和当前时间进行MD5加密,同时带着当前时间通过请求头发送到API,进入三关验证. 第一关是 ...

  4. .net web api 权限验证

    做一个登录权限验证. 开始吧. using System; using System.Collections.Generic; using System.Drawing; using System.D ...

  5. .net core 中api 模型验证

    AddControllers/AddMvc方法允许添加自定义ActionFilterAttribute进行过滤 文档中这么定义Filter: 可以创建自定义筛选器,用于处理横切关注点. 横切关注点的示 ...

  6. 分享api接口验证模块

    一.前言 权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究.有时候我们也会用一些开源的权限验证 ...

  7. api接口验证shal()

    就安全来说,所有客户端和服务器端的通信内容应该都要通过加密通道(HTTPS)传输,明文的HTTP通道将会是man-in-the- middle及其各种变种攻击的温床.所谓man-in-the-midd ...

  8. ASP.NET Web API 安全验证之摘要(Digest)认证

    在基本认证的方式中,主要的安全问题来自于用户信息的明文传输,而在摘要认证中,主要通过一些手段避免了此问题,大大增加了安全性. 1.客户端匿名的方式请求 (无认证) HTTP/ Unauthorized ...

  9. API接口验证

    一.前言 权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究.有时候我们也会用一些开源的权限验证 ...

随机推荐

  1. GWAS+自然选择:62个样本的GWAS分析,没信号,如何巧妙的发文章

    欢迎来到"bio生物信息"的世界 6天前,BMC Genomics 推了一篇文献"Population history and genetic adaptation of ...

  2. Windows 10 安装MySQL

    1.下载MySQL官网:https://www.mysql.com/ 进入官网点击DOWNLOADS ->Community->DOWNLOADS (下载社区版) 2.安装MySQL 将下 ...

  3. OpenShift 4.2环境离线部署Operatorhub

    缺省离线环境安装的ocp4的Operatorhub是没有内容的.详细离线文档参考官网文档 https://docs.openshift.com/container-platform/4.2/opera ...

  4. NET高级开发工程师职责要求

    岗位职责1.参与架构以及核心业务的设计:2.使用简单,干净,可维护性高,扩展性好的代码实现产品功能,并在必要时重构现有代码:3.贯彻面向接口以及模块化组件的设计理念:4.熟练RabbitMQ.ES.M ...

  5. 【Spring Cloud学习之五】配置中心

    环境 eclipse 4.7 jdk 1.8 Spring Boot 1.5.2 Spring Cloud 1.2 一.什么是配置中心在分布式系统中,由于服务数量巨多,为了方便服务配置文件统一管理,实 ...

  6. 【ARM-Linux开发】Linux模块机制浅析

    Linux模块机制浅析   Linux允许用户通过插入模块,实现干预内核的目的.一直以来,对linux的模块机制都不够清晰,因此本文对内核模块的加载机制进行简单地分析. 模块的Hello World! ...

  7. JPA分页查询与条件分页查询

    情有独钟的JPA 平时在写一些小项目时,比较喜欢引用 Spring Data Jpa,其实还是图他写代码快~在日常的开发工作中,分页列表查询基本是随处可见,下面一起看一下如何使用 jpa 进行多条件查 ...

  8. vue中ref在input中详解

    当我们在项目中遇见文本输入框的时候,获取时刻输入框中的值 1.v-model <template> <input type="text" v-model=&quo ...

  9. aspnetcore identity result.Succeeded SignInManager.IsSignedIn(User) false?

    登陆返回的是 result.Succeeded 为什么跳转到其他页面SignInManager.IsSignedIn(User)为false呢? result.Succeeded _signInMan ...

  10. @FeignClient 调用另一个服务的test环境,实际上却调用了另一个环境testone的接口,这其中牵扯到k8s容器外容器内的问题,注册到eureka上的是容器外的旧版本

    今天遇到了很奇葩的问题,我本机的是以test环境启动的,调用另一个服务接口的时候返回参数却不同,调用接口是没错,怎么会这样,排查了很久,发现在eureka上注册的另一个服务是testone环境,而这个 ...