1. 获取接口信息

Client端

import requests

import time

import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'

new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()

m.update(bytes(new_key, encoding='utf-8'))

md5_key = m.hexdigest()

md5_key_key = "%s|%s" % (md5_key, ctime)

print(md5_key_key)

response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})

print(response.text)

2. 验证令牌信息

Server端

import hashlib

import time

from django.shortcuts import render,HttpResponse

from django.conf import settings

api_key_record = {}

def asset(request):

    client_md5_time_key =request.META.get('HTTP_OPENKEY')

    client_md5_key,client_ctime = client_md5_time_key.split('|')

    client_ctime = float(client_ctime)

    server_time = time.time()

    # 第一关:时间关 10s内访问

    if server_time - client_ctime >10:

        return HttpResponse('[第一关] 访问时间超时!')

    # 第二关:规则关 防止修改时间

    temp = "%s|%s"%(settings.AUTH_KEY,client_ctime,)

    m = hashlib.md5()

    m.update(bytes(temp,encoding='utf-8'))

    server_md5_key = m.hexdigest()

    if server_md5_key != client_md5_key:

        return HttpResponse('[第二关] 规则不正确')

    for k in list(api_key_record.keys()):

        v = api_key_record[k]

        if server_time > v:

            del api_key_record[k]

    # 第三关

    if client_md5_time_key in api_key_record:

        return HttpResponse('[第三关] 令牌已使用过')

    else:

        api_key_record[client_md5_time_key] = client_ctime +10

    if request.method == "GET":

        return HttpResponse('GET: 获取重要数据')

    elif request.method == "POST":

        return HttpResponse('POST')

3. 模拟请求

正常请求:nomary GET请求

import requests

import time

import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'

new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()

m.update(bytes(new_key, encoding='utf-8'))

md5_key = m.hexdigest()

md5_key_key = "%s|%s" % (md5_key, ctime)

print(md5_key_key)

response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})

print(response.text)

正常请求结果

f8012ba778903e8dd1185173ed33b0b8|1550306560.9089868

GET: 获取重要数据

骇客攻击请求

hack请求

import requests

md5_key_key = '5e287e46a67ec778df70d27e7a5b8d6e|1550306579.3672032'

response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})

print(response.text)

hack请求结果

[第三关] 令牌已使用过

总结:

第一关:时间关  客户端的时间和服务端的时间进行比较  10s内是正常访问 超过10s则为超时访问

                if server_time - client_ctime > 10:

                    return HttpResponse('[第一关] 访问时间超时!')

第二关:规则关 防止修改时间 服务端把服务期设置的key和客户端发来的时间进行md5加密 然后再和客户端发来的动态令牌进行比较是否一致

第三关:过期令牌删除

    1、判断客户端的令牌是否在api记录里

    2、如果在表示已使用不再被使用

    3、如果不在将令牌作为key 客户端时间+10作为value放在api记录里

    4、这样每次在判断令牌是否在记录表中的时候,先遍历记录表进行比较

    比较当前的服务时间是否大于客户端+10s的时间key,如果大于则已过期直接删除,否则不做处理

    5、当然如果用redis的话,这部操作不用关心,redis key 5s  key后面指定时间redis会自动删除

Django API验证(令牌)的更多相关文章

  1. API验证及AES加密

    API验证 API验证: a. 发令牌: 静态 PS: 隐患 key被别人获取 b. 动态令牌 PS: (问题越严重)用户生成的每个令牌被黑客获取到,都会破解 c. 高级版本 PS: 黑客网速快,会窃 ...

  2. API验证

    API验证说明 API验证: a. 发令牌: 静态 PS: 隐患 key被别人获取 b. 动态令牌 PS: (问题越严重)用户生成的每个令牌被黑客获取到,都会破解 c. 高级版本 PS: 黑客网速快, ...

  3. CMDB API验证

    CMDB API验证 为什么做API验证 API验证是防止数据在传输的过程中,保证数据不被篡改 如何设计的API验证 灵感来源于Torando中加密Cookie的源码,主要是生成加密的随机字符串. M ...

  4. python API验证

    API验证 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 API验证:     a. 发令牌: 静态         PS: 隐患 key ...

  5. CMDB服务器管理系统【s5day90】:API验证

    1.认证思路刨析过程 1.请求头去哪里拿? 1.服务器端代码: def test(request): print(request) return HttpResponse('你得到我了') 2.客户端 ...

  6. API验证插件

    前言 如果在访问某WebAPI过程中request信息被他人截获,若是get请求获取数据还好,如果是post提交数据,势必威胁数据安全,所以对于一个对安全性要求较高的API来说,对每个请求做身份验证显 ...

  7. CMDB 数据加密 最终整合API验证+AES数据加密

    当CMDB运行在内网的时候,经过API验证的三关是没有问题的,但是如果运行在外网,有一个问题是,黑客截取后的访问速度比客户端快的时候还会造成数据泄露.为了解决这个问题,就要对数据进行加密 RSA加密 ...

  8. django用户验证机制

    django的验证机制 from django.contrib.auth.decorators import login_required 需要在要验证的界面添加`@login_required` 登 ...

  9. 基于 JWT-Auth 实现 API 验证

    基于 JWT-Auth 实现 API 验证 如果想要了解其生成Token的算法原理,请自行查阅相关资料 需要提及的几点: 使用session存在的问题: session和cookie是为了解决http ...

随机推荐

  1. python抓取

    我要抓取奥巴马每周的演讲内容http://www.putclub.com/html/radio/VOA/presidentspeech/index.html 如果手动提取,就需要一个个点进去,再复制保 ...

  2. Docker入门与应用系列(三)容器管理

    一.启动容器 启动容器有两种方式,一种是基于镜像新建一个容器并启动,另一个是将终止状态的容器重新启动. 1.1 新建并启动 主要命令为 docker run 下面的命令输出一个”Hello,world ...

  3. SGD中的重要参数

    Learning Rate 学习率决定了权值更新的速度,设置得太大会使结果超过最优值,太小会使下降速度过慢.仅靠人为干预调整参数需要不断修改学习率,因此后面3种参数都是基于自适应的思路提出的解决方案. ...

  4. SQL Server 属性不匹配。存在属性(Directory, Archive),包括属性(0),不包括属性(Archive, Compressed, Encrypted)

    问题:安装SQL SERVER 2008报错 “存在属性(Directory, Archive),包括属性(0),不包括属性(Archive, Compressed, Encrypted)” 解决办法 ...

  5. 【测试笔记】Redis学习笔记(十二)性能测试

    http://blog.csdn.net/yangcs2009/article/details/50781530 Redis测试服务器一 redis_version:2.8.4 www@iZ23s8a ...

  6. hbase系列之:初识hbase

    一.概述 在hadoop生态圈里,hbase可谓是鼎鼎大名.江湖传言,hbase可以实现数十亿行X数百万列的实时查询,可横向扩展存储空间.如果传言为真,那得好好了解了解hbase.本文从概念上介绍hb ...

  7. 经典幻灯片插件Swiper

    照着写的demo,搞清楚什么叫分页器Pagination,什么叫nav,搞清楚DOM结构,container,wrapper之类的,就能写了.效果掉渣天! <!DOCTYPE html> ...

  8. XML学习(1)

    什么是XML? XML是可拓展标记语言,类似HTML,它的设计宗旨是为了传输数据,而不是像HTML那样显示数据.XML标签没有被预定义,需要用户自定义标签. xml文档必须包含根元素,它是其他所有元素 ...

  9. <!DOCTYPE>是干嘛用的?— html文档类型

    一.啥是文档类型? 在网站开发中一定遇到过这样几种html文档 <!DOCTYPE> 是啥? Web 世界中存在许多不同的文档.只有了解文档的类型,浏览器才能正确地显示文档. HTML 也 ...

  10. thinkphp 原数据更新

    调用TP的save方法更新数据时,如果新数据与数据库中得数据一致, 那么执行M('table')->save(data)方法时,该方法会返回false.现在的需求是,哪怕用户要更新的数据与原数据 ...