python_way ,day23 API
python_way ,day23
1、api认证 、api加密动态请求
2、自定义session
一、api认证
首先提供api的公司,如支付宝,微信,都会给你一个用户id,然后还会让你下一个SDK,你使用SDK加上id做加密,访问商提供的域名进行验证
SDK,一个商户的加密程序。
二、动态地址认证:
为了避免黑客拦截你提交的请求,然后使用你提交的请求非法获取利益,所以我们就需要每次提交都需要改变一下url,这下你使用过的url就失去了作用。
(但是前提是你必须在他之前访问,如果比他访问的慢那就没有办法了)
所以我们就是制作一个动态的url给服务器
比如说md5与时间拼接后的字符串进行加密,就是服务器商提供的SDK我们使用它对服务器给我们提供的id进行加密
1.NB的加密算法:
- #!/usr/bin/env python3
- # Created by han on 2016/10/28
- import hashlib
- import time
- #客户端的操作没客户端获取了服务器事先给的asdfasdf,这个值,然后使用官方规定的加密方法,这里就是用的md5做加密,然后把加密后的数值传给服务器,服务器用相同的方法解密
- def md5(arg):
- m = hashlib.md5()
- m.update(bytes(arg,encoding="utf8"))
- return m.hexdigest()
- def new_str(arg):
- current_time = time.time()
- rer_str = "%s|%s" % (arg,current_time)
- md5_str = md5(rer_str)
- return md5_str,current_time #还需要把时间给服务器返回,好让他使用这个动态的字符串解密
2、向服务商提请求
- #!/usr/bin/env python3
- # Created by han on 2016/10/28
- import os,sys
- sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
- import requests
- from module import client_publish
- # key = "asdaf" #因为静态的api会让黑客截取
- row_key = client_publish.new_str("asdfasdf") #row_key 是一个元组,上面返回的包括(加密串与当前时间)
- key="%s|%s" % row_key
- ret = requests.get("http://www.old.com:8888/main?app_id=%s"%key) #使用get方式请求服务器
- print(ret.text)
3、服务商接收请求,并且获取到动态的url,进行加密校验
- import os,sys, time
- sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
- import tornado.web
- from module import client_publish
- APP_ID_LIST = [
- 'asdf',
- '',
- 'asdfasdf',
- ]
- class MainHadler(tornado.web.RequestHandler):
- def get(self):
- md5_app_id = self.get_argument("app_id", None) #获取get的携带的请求
- #先分割,获取时间与客户端的加密字符串
- time = md5_app_id.split("|")[1]
- client_md5 = md5_app_id.split("|")[0]
- #设置一个标志
- flag = False
- for i in APP_ID_LIST:
- server_str = "%s|%s" % (i, time)
- server_md5 = client_publish.md5(server_str)
- #这里也做md5加密,如果值和客户端传过来的值相等,那么就可以证明验证通过
- if server_md5 == client_md5:
- flag = True
break #认证成功后跳出- if flag:
- self.write("APP_ID") #相当于django的HTTPResponse
- else:
- self.write("滚")
但是这样貌似加密了,劫持后所有动态的url都可以使用!
所以我们就要规定一个有效时间,这个有效时间内他同一个客户端传来的url只能访问一次
然后把这些已经访问过得url存到redis,redis,指定这个redis中定期的数据清除。
- #!/usr/bin/env python3
- # Created by han on 2016/10/26
- import os, sys, time
- sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
- import tornado.web
- from module import client_publish
- APP_ID_LIST = [
- 'asdf',
- '',
- 'asdfasdf',
- ]
- valide_url = [] #这个列表就是维护一个已经验证通过,并且使用过的url,我们可以把这个列表放到redis中,每大于10秒清空它
- class MainHadler(tornado.web.RequestHandler):
- def get(self):
- st = time.time() #先生成本地时间
- md5_app_id = self.get_argument("app_id", None) #获取get的携带的请求
- client_md5, client_time = md5_app_id.split("|")
- if float(client_time) < st - 10: #判断一,假如在10s内再次访问。不通过
- self.write("滚1")
- return
- if md5_app_id in valide_url: #如果md5在valid_url中,证明已经验证过了,不通过
- self.write("滚2")
- return
- flag = False
- for i in APP_ID_LIST:
- server_str = "%s|%s" % (i, client_time) , #如果黑客修改了时间,到这里利用时间做md5值加密的时候就和用户发来的不一样了!所有就能规避到用户发来的修改时间后的rul了
- server_md5 = client_publish.md5(server_str)
- if server_md5 == client_md5: #到这里就应该是第一次访问,并且通过了正确性验证
- flag = True
- valide_url.append(md5_app_id) #因为是第一次访问,所以把刚刚验证的url添加到列表中
- break #认证成功后跳出
- if flag:
- self.write("APP_ID") #相当于django的HTTPResponse
- else:
- self.write("滚3")
- class CmdbHander(tornado.web.RequestHandler): #tornado内部使用反射来找到类中对应的方法
- #resutful变向资源编程,一个url通过不同的请求分配到不同的方法
- def get(self):
- # self.write("cmdb")
- a = [11, 22, 33, 44]
- self.render("index.html", li = a)
- def post(self): #以post方式请求,
- user_info = []
- user = self.get_argument("user") #获取post请求的信息
- pwd = self.get_argument("password")
- user_info.append({"u": user, "p": pwd})
- self.redirect('/home') #跳转
- class HomeHadler(tornado.web.RequestHandler):
- def get(self):
- self.render("home.html", user_info_list = USER_INFO) #模板渲染
- #!/usr/bin/env python3
- # Created by han on 2016/10/28
- import os,sys
- sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
- import requests
- from module import client_publish
- # key = "asdaf" #因为静态的api会让黑客截取
- row_key = client_publish.new_str("asdfasdf")
- key="%s|%s" % row_key
- ret = requests.get("http://www.old.com:8888/main?app_id=%s"%key) #使用get方式请求服务器
- print(ret.text)
二、自定义session
cookie:写在浏览器上的一个键值对
session:写在服务器上的,key就是cookie的value,value里是对应的一些值
Django,session使用时用到了类中的一个方法。
session的预备知识:
1、定义字典样式
2、反射
- class Text:
- def get(self):
- print("get")
- def set(self):
- print("set")
- obj = Text()
- func = getattr(obj,'get')
- func()
反射
3、tornado执行类方法的钩子:
- #我们在请求cmdb.old.com/home的时候直接执行了 HomeeHadler中的get方法
- #是应为Tonardo内部肯定将 HomeHadler实例化了
- # obj = HomeHadler()
- # obj.get()
- #如果我们想在执行get方法前添加一个方法,哪我们就要讲HomeHadler的构造方法中添加一个功能,就可以了
- #HomeHadler我们没有写构造方法,哪我们就去找他的父类的构造方法
- #在tornado.web.RequestHandler内部我们看到了这个钩子,是预留好的,自己可以自定义的
- # def initialize(self):
- # pass
- #我们就可以修改源码了,但是如果修改了源码,哪我们在线上线下布置的环境中就都需要修改这个源码,
- #所以我们就使用继承的方式,将这个initialize使用上
- class HomeHadler(tornado.web.RequestHandler):
- def initialize(self):
- print("123123") #此时就会先执行initialize
- def get(self):
- self.write("OK")
如果一个类使用上面的解决方式就可以实现了。但是如果要是很多类都需要使用initialize方法,并且还需要修改,上面的方法就有些蠢了
那么我们就可以使用一个继承来解决这个问题了。
- class MyRequestHandler(tornado.web.RequestHandler):
- def initialize(self):
- print("")
- class HomeHadler(MyRequestHandler):
- def get(self):
- self.write("OK")
- class HostHadler2(MyRequestHandler): #这种方式的话就可以方便统一使用,统一修改了
- def get(self):
- self.write("OK")
思考:
- HomeHadler 或者 HostHadler2中的self和 MyRequestHandler中的self是否一样
- 是一样的
- 因为在我们创建对象的时候
- obj = HostHadler()
- obj.initialize() 如果在HomeHadler中没有,就回去他的父类MyRequestHandler中寻找,所以他们两个obj对象是一个,这样就可以判断出self是一个了
答案
所以我们就可以把代码改动一下做个试验
- lass MyRequestHandler(tornado.web.RequestHandler):
- def initialize(self):
- self.sss = {"k",123}
- class HomeHadler(MyRequestHandler):
- def get(self):
- print(self.sss)
- self.write("OK")
- 这会执行结果就是
- "k",123
言归正传:给浏览器的cookie设置session
- application = tornado.web.Application([
(r"/main", home.MainHadler),
], **settings) #只需要在application这里增加setttings这个配置- application.add_handlers("cmdb.old.com",[
(r"/home", home.HomeHadler),
])
- container = {}
- class Session:
- def __init__(self, handler): #3、handler就是之前传递过来的handler方法,所以它也会有setcookie方法。
- self.cookie = client_publish.md5_str() #先生成一个变化的cookie
- client_cookie = handler.get_cookie("__session_id__") #获取客户端的cookie
- if client_cookie: #如果获取到cookie
- if client_cookie in container: #检查这个cookie是否存在在container中
- #如果客户端访问的md5在我的列表中证明是真的
- print("有cookie")
- self.r_str = client_cookie #设置一个字段,以备以后调用
- else:#否则就是假的
- handler.set_cookie("__session_id__",self.cookie) #设置一个新的cookie
- print("假的cookie")
- container[self.cookie] = {} #把这个cookie放在字典中
- self.r_str = self.cookie #同样因为是新生成的cookie,还是设置一个字段,以备后患
- else:
- container[self.cookie] = {} #如果没有设置cookie,第一次访问
- print("没有cookie")
- handler.set_cookie("__session_id__", self.cookie) #设置cookie
- self.r_str = self.cookie
- class MyRequestHandler(tornado.web.RequestHandler):
- def initialize(self): ##2、执行这个initalize函数
- #在RequestHandler中有set_cookie方法
- self.key = Session(self) #我们把self传递给Session 自定义的这个类中
- class HomeHadler(MyRequestHandler): ## 1、第一部会先执行这个函数并向客户端浏览器会写 set cookie,但在回写之前,执行了父类中的构造函数
- def get(self):
- #self.set_cookie() 因为这里继承了MyRequestHandler,所以在这里也有set cookie方法
- self.write("set cookie")
python_way ,day23 API的更多相关文章
- python_way ,day22 tonardo
python_way day22 1.tonardo 2.cookie 3.api认证 一.tonardo: a.tonardo 初识 #!/usr/bin/env python3# Created ...
- python_way day12 sqlalchemy,原生mysql命令
python_way day12 sqlalchemy,mysql原生命令 1.sqlalchemy 2.mysql 原生命令 一,sqlalchemy SQLAlchemy本身无法操作数据库,其必 ...
- day23 框架之基础加强
day23 框架之基础加强 今日任务 aptana(javascript的eclipse插件):http://www.cnblogs.com/terrylin/archive/2012/06/20/2 ...
- python_way ,day22 tonardo,jsonp
python_way day22 1.tonardo 2.cookie 3.api认证 一.tonardo: a.tonardo 初识 #!/usr/bin/env python3# Created ...
- 干货来袭-整套完整安全的API接口解决方案
在各种手机APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的WEB API大量存在,安全性令人堪优 在以前WEB API概念没有很普及的时候,都采用自已定义的接口和结构,对 ...
- 12306官方火车票Api接口
2017,现在已进入春运期间,真的是一票难求,深有体会.各种购票抢票软件应运而生,也有购买加速包提高抢票几率,可以理解为变相的黄牛.对于技术人员,虽然写一个抢票软件还是比较难的,但是还是简单看看123 ...
- 几个有趣的WEB设备API(二)
浏览器和设备之间还有很多有趣的接口, 1.屏幕朝向接口 浏览器有两种方法来监听屏幕朝向,看是横屏还是竖屏. (1)使用css媒体查询的方法 /* 竖屏 */ @media screen and (or ...
- html5 canvas常用api总结(三)--图像变换API
canvas的图像变换api,可以帮助我们更加方便的绘画出一些酷炫的效果,也可以用来制作动画.接下来将总结一下canvas的变换方法,文末有一个例子来更加深刻的了解和利用这几个api. 1.画布旋转a ...
- JavaScript 对数据处理的5个API
JavaScript对数据处理包括向上取整.向下取整.四舍五入.固定精度和固定长度5种方式,分别对应ceil,floor,round,toFixed,toPrecision等5个API,本文将对这5个 ...
随机推荐
- sql多表查询(out join,inner join, left join, right join)
left join以左表为基准显示所有左表的信息,在on中有符合条件的其他表也显示出来 right join则相反 inner join的只显示on中符合条件的 1 使用多个表格 在「world」资料 ...
- 表数据文件DBF的读取和写入操作
import sys import csv import struct import datetime import decimal import itertools from cStringIO i ...
- Json常见问题
1.创建包含 JSON 语法的 JavaScript 字符串: var txt = '{ "employees" : [' + '{ "firstName":& ...
- easyui-tabs图标(获取焦点时显示图标,失去焦点时隐藏图标)
获取焦点时显示图标,失去焦点时隐藏图标 <script type="text/javascript"> $('#_progress').tabs({ onSelect: ...
- codeigniter db操作方法
链接数据库 ——- $this->load->database();//手动连接数据库 //连接多数据库 $DB1 = $this->load->database(‘group ...
- [C++][代码库]Vector3空间向量类
本文用C++实现一个简单的Vector3类的功能,暂时有的功能是: 1 + - * /算术运算 2 向量的数量积,又叫:点乘 3 向量的向量积,又叫:叉乘 4 向量单位化(normalization) ...
- ACM题目————Equations
Description Consider equations having the following form: a*x1^2+b*x2^2+c*x3^2+d*x4^2=0 a, b, c, d a ...
- SlickGrid example 2: 按想要的风格展示列
先上效果图. 代码: <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http:// ...
- JQuery-遮罩层
HTML <html> <head> <link href="StyleSheet.css" rel="stylesheet" t ...
- selenium帮助手册以及 webdriver的各种driver
帮助手册 http://selenium-python.readthedocs.io/locating-elements.html 转载于:http://blog.csdn.net/five3/art ...