restful API接口可以很方便的让其他系统调用,为了让指定的用户/系统可以调用开放的接口,一般需要对接口做认证;

接口认证有两种方式: 1、认证的token当做post/get的参数,server端拿到该参数后进行比对; 2、将认证的token加到http header中,server端解析header,拿到token进行比对,这也是最常用的方式;

下面针对第二种方式,进行详细的说明:

客户端请求http 的接口,python提供了requests模块,可以很方便的实现,在请求的时候,需要将请求的参数和认证的token携带过去;但是这样做,有可能是不安全的,因为token是不变的,在使用的过程中存在泄漏或者http请求被劫持的问题;所以,为了保证安全,最好传输的token是加密的,并且是一直变化着的;比较好实现方法是:获取当前的时间戳,和token拼接之后做MD5加密,发送到server端,server 再根据当前的时间戳和token拼接的字符串做md5,结果和接收到的字符串比对,但问题是数据在网络中传输存在延迟,所以时间戳两端对不上,所以客户端在发送的时候,还需要将时间戳一同发过去,所以最终发送的字符串实现如下:

import hashlib

import time

current_time = str(time.time())

m = hashlib.md5()

m.update(bytes(appid+current_time,encoding='utf-8'))

new_appid = m.hexdigest()

new_new_appid = "%s|%s" %(new_appid,current_time)

print(new_new_appid)

server端split('|')接收到的字符串,获取时间戳,和token拼接,做MD5校验之后,与加密的密文比对;

但是问题又来了,一旦用户成功的请求被拦截,就可以获取加密的密文和时间戳,这一串字符串可以直接被server验证通过;

所以,最终的解决方式是:在server端维护一个列表,一旦成功的用户请求到来,将其加密的密文加到列表中,下一次请求到来后,先检查加密的字符串是否在列表中,如果存在,直接返回失败,如果不存在,并且时间在10s以内,再做后续的操作。需要注意的是,列表维护的信息,是10s(或其他时间段)以内的;如果这个列表存在于redis或者memcache中,可以借助redis和memcache的特性,删除10s以前的数据,会更简单;

下面是参考代码:

client side:

#!/usr/bin/env python

# _*_ coding:utf-8 _*_

__author__ = "charles"

import requests

appid = 'asjdhjasdasgdd'

import hashlib

import time

current_time = str(time.time())

m = hashlib.md5()

m.update(bytes(appid+current_time,encoding='utf-8'))

new_appid = m.hexdigest()

new_new_appid = "%s|%s" %(new_appid,current_time)

print(new_new_appid)

response = requests.get(

     url='http://127.0.0.1:8080/asset/',

     # params={'appid',appid},

     headers = {'appid':new_new_appid}

 )

print(response.text)

 

server side:

from django.shortcuts import render,HttpResponse

# Create your views here.

from  django.views import View

import hashlib

import time

class AssetView(View):

    #1.时间  2.是否已经存在   3.正向加密

    def get(self,request,*args,**kwargs):

        visited = []   #列表需要维护时间,如果使用redis或者memcache就简单了

        req_appid = request.META['HTTP_APPID']

        print(req_appid)

        APPID = 'asjdhjasdasgdd'

        v,client_time = req_appid.split('|')

        current_time = time.time()

        float_client_time = float(current_time)

        if current_time - 10 > float_client_time:

            return HttpResponse('验证失败')

        if req_appid in visited:

            return HttpResponse('验证失败')

        m = hashlib.md5()

        m.update(bytes(APPID+client_time,encoding='utf-8'))

        new_appid = m.hexdigest()

        if new_appid == v:

            visited.append(req_appid)

            return HttpResponse('...')

        else:

            return HttpResponse('去你的吧。。。')

API接口认证的更多相关文章

  1. 最安全的api接口认证

    最安全的api接口认证 实现步骤: 1.客户端与服务器都存放着用于验证的Token字段,客户端在本地把自己的 用户名+时间戳+Token 组合进行MD5加密后生成一段新的md5-token. 2.客户 ...

  2. spring boot 2 集成JWT实现api接口认证

    JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...

  3. 每天一点点之laravel框架 - Laravel5.6 + Passport实现Api接口认证

    1.首先通过 Composer 包管理器安装 Passport: composer require laravel/passport 注:如果安装过程中提示需要更高版本的 Laravel:larave ...

  4. python api接口认证脚本

    import requests import sys def acces_api_with_cookie(url_login, USERNAME, PASSWORD, url_access):     ...

  5. Django项目:CMDB(服务器硬件资产自动采集系统)--03--03CMDB信息安全API接口交互认证

    #settings.py """ Django settings for AutoCmdb project. Generated by 'django-admin sta ...

  6. 03: zabbix API接口 对 主机、主机组、模板、应用集、监控项、触发器等增删改查

    目录:Django其他篇 01: 安装zabbix server 02:zabbix-agent安装配置 及 web界面管理 03: zabbix API接口 对 主机.主机组.模板.应用集.监控项. ...

  7. api接口思路介绍

    现在很流行api了,但各种api做法不一样,下面我整理了一些自己的想法,也是看了各大门户网站开放的api应用想到的,与大家分享分享,高手跳过.   API(Application Programmin ...

  8. api接口对于客户端的身份认证方式以及安全措施

    转载 基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsession ...

  9. 使用Flask设计带认证token的RESTful API接口

    大数据时代 Just a record. 使用Flask设计带认证token的RESTful API接口[翻译] 上一篇文章, 使用python的Flask实现一个RESTful API服务器端  简 ...

随机推荐

  1. python基础--基础练习题(一)

    1. 输出如下内容: 1 1 2 1 2 2 3 1 3 2 3 3 4 1 4 2 4 3 4 4 思路:应该是要用两个循环,外层循环控制第一个数字,内层控制输出的次数 for i in range ...

  2. 获取China大陆IP段的范围

    这里有几个网站提供了大陆的IP段范围.别问我要这个列表干什么,我也不知道. http://www.ip2location.com/blockvisitorsbycountry.aspx老牌网站,国内很 ...

  3. Vue.js学习使用心得(四)——组件

    一.组件 组件(Component)是 Vue.js 最强大的功能之一. 组件可以扩展 HTML 元素,封装可重用的代码. 组件系统让我们可以用独立可复用的小组件来构建大型应用,几乎任意类型的应用的界 ...

  4. django 多对多 增 删 改 查

      一.通过url方式实现多对多的:增加,删除,编辑 代码目录: urls.py 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 ...

  5. 前后端如何保持长连接?---websocket

    1. pc端的应用,一般会采用前端定时请求后台; 2. app定时去访问后台的话,对用户来说并不友好,会消耗大量的流量,移动端最好的方式就是后台主动向app推送信息; 3. H5提供了一种比较好的方式 ...

  6. 在子页面操作父页面元素和iframe说明

    实现功能:在子页面操作父页面元素. 在实际编码的过程中,大家一定有这种需求:在父级页面有一个<iframe scrolling='auto'></iframe>内联框架,而我们 ...

  7. 随机数的组合问题(JavaScript描述)

    随机数的组合问题在面试时是经常考的,比如之前我就被问到:“有一个可以生成1-5的随机数函数,怎样把它扩大到1-7?” 在解决这个问题之前,先来看看另外一个比较简单的问题:“有一个可以生成1-7的函数, ...

  8. 解决java.lang.IllegalArgumentException: No converter found for return value of type 的问题

    controller返回一个dto,并且定义了@ResponseBody注解,表示希望将这个dto对象转换为json字符串返回给前端,但是运行时报错:nested exception is java. ...

  9. shell 生成MAC地址

    # cat /dev/urandom |od -x |awk '{print $2,$3,$4}' |head -n 1 |sed -e 's/[[:space:]]//g' -e 's/\(..\) ...

  10. docker登录运行中的容器的4方案

    目前容器云非常的成熟,也有很多的使用案例,可以说不是什么高大上的东西了,可以说整个云计算也不是什么奢侈品,而是基础设施.但是如何使用,就成了必须的技术. 今天记录下,基于docker的容器登录技术. ...