python_way ,day23 API
python_way ,day23
1、api认证 、api加密动态请求
2、自定义session
一、api认证
首先提供api的公司,如支付宝,微信,都会给你一个用户id,然后还会让你下一个SDK,你使用SDK加上id做加密,访问商提供的域名进行验证
SDK,一个商户的加密程序。
二、动态地址认证:
为了避免黑客拦截你提交的请求,然后使用你提交的请求非法获取利益,所以我们就需要每次提交都需要改变一下url,这下你使用过的url就失去了作用。
(但是前提是你必须在他之前访问,如果比他访问的慢那就没有办法了)
所以我们就是制作一个动态的url给服务器
比如说md5与时间拼接后的字符串进行加密,就是服务器商提供的SDK我们使用它对服务器给我们提供的id进行加密
1.NB的加密算法:
#!/usr/bin/env python3
# Created by han on 2016/10/28
import hashlib
import time #客户端的操作没客户端获取了服务器事先给的asdfasdf,这个值,然后使用官方规定的加密方法,这里就是用的md5做加密,然后把加密后的数值传给服务器,服务器用相同的方法解密
def md5(arg):
m = hashlib.md5()
m.update(bytes(arg,encoding="utf8"))
return m.hexdigest() def new_str(arg):
current_time = time.time()
rer_str = "%s|%s" % (arg,current_time)
md5_str = md5(rer_str)
return md5_str,current_time #还需要把时间给服务器返回,好让他使用这个动态的字符串解密
2、向服务商提请求
#!/usr/bin/env python3
# Created by han on 2016/10/28
import os,sys
sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
import requests
from module import client_publish
# key = "asdaf" #因为静态的api会让黑客截取
row_key = client_publish.new_str("asdfasdf") #row_key 是一个元组,上面返回的包括(加密串与当前时间)
key="%s|%s" % row_key
ret = requests.get("http://www.old.com:8888/main?app_id=%s"%key) #使用get方式请求服务器
print(ret.text)
3、服务商接收请求,并且获取到动态的url,进行加密校验
import os,sys, time
sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
import tornado.web
from module import client_publish
APP_ID_LIST = [
'asdf',
'',
'asdfasdf',
] class MainHadler(tornado.web.RequestHandler):
def get(self):
md5_app_id = self.get_argument("app_id", None) #获取get的携带的请求
#先分割,获取时间与客户端的加密字符串
time = md5_app_id.split("|")[1]
client_md5 = md5_app_id.split("|")[0]
#设置一个标志
flag = False
for i in APP_ID_LIST:
server_str = "%s|%s" % (i, time)
server_md5 = client_publish.md5(server_str)
#这里也做md5加密,如果值和客户端传过来的值相等,那么就可以证明验证通过
if server_md5 == client_md5:
flag = True
break #认证成功后跳出
if flag:
self.write("APP_ID") #相当于django的HTTPResponse
else:
self.write("滚")
但是这样貌似加密了,劫持后所有动态的url都可以使用!
所以我们就要规定一个有效时间,这个有效时间内他同一个客户端传来的url只能访问一次
然后把这些已经访问过得url存到redis,redis,指定这个redis中定期的数据清除。
#!/usr/bin/env python3
# Created by han on 2016/10/26
import os, sys, time
sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
import tornado.web
from module import client_publish
APP_ID_LIST = [
'asdf',
'',
'asdfasdf',
] valide_url = [] #这个列表就是维护一个已经验证通过,并且使用过的url,我们可以把这个列表放到redis中,每大于10秒清空它 class MainHadler(tornado.web.RequestHandler):
def get(self):
st = time.time() #先生成本地时间
md5_app_id = self.get_argument("app_id", None) #获取get的携带的请求
client_md5, client_time = md5_app_id.split("|")
if float(client_time) < st - 10: #判断一,假如在10s内再次访问。不通过
self.write("滚1")
return
if md5_app_id in valide_url: #如果md5在valid_url中,证明已经验证过了,不通过
self.write("滚2")
return
flag = False
for i in APP_ID_LIST:
server_str = "%s|%s" % (i, client_time) , #如果黑客修改了时间,到这里利用时间做md5值加密的时候就和用户发来的不一样了!所有就能规避到用户发来的修改时间后的rul了
server_md5 = client_publish.md5(server_str)
if server_md5 == client_md5: #到这里就应该是第一次访问,并且通过了正确性验证
flag = True
valide_url.append(md5_app_id) #因为是第一次访问,所以把刚刚验证的url添加到列表中
break #认证成功后跳出
if flag:
self.write("APP_ID") #相当于django的HTTPResponse
else:
self.write("滚3") class CmdbHander(tornado.web.RequestHandler): #tornado内部使用反射来找到类中对应的方法
#resutful变向资源编程,一个url通过不同的请求分配到不同的方法
def get(self):
# self.write("cmdb")
a = [11, 22, 33, 44]
self.render("index.html", li = a) def post(self): #以post方式请求,
user_info = []
user = self.get_argument("user") #获取post请求的信息
pwd = self.get_argument("password")
user_info.append({"u": user, "p": pwd})
self.redirect('/home') #跳转 class HomeHadler(tornado.web.RequestHandler):
def get(self):
self.render("home.html", user_info_list = USER_INFO) #模板渲染
#!/usr/bin/env python3
# Created by han on 2016/10/28
import os,sys
sys.path.append(os.path.dirname(os.path.dirname(os.path.abspath(__file__))))
import requests
from module import client_publish
# key = "asdaf" #因为静态的api会让黑客截取
row_key = client_publish.new_str("asdfasdf")
key="%s|%s" % row_key
ret = requests.get("http://www.old.com:8888/main?app_id=%s"%key) #使用get方式请求服务器
print(ret.text)
二、自定义session
cookie:写在浏览器上的一个键值对
session:写在服务器上的,key就是cookie的value,value里是对应的一些值
Django,session使用时用到了类中的一个方法。
session的预备知识:
1、定义字典样式
2、反射
class Text:
def get(self):
print("get")
def set(self):
print("set") obj = Text()
func = getattr(obj,'get')
func()
反射
3、tornado执行类方法的钩子:
#我们在请求cmdb.old.com/home的时候直接执行了 HomeeHadler中的get方法
#是应为Tonardo内部肯定将 HomeHadler实例化了
# obj = HomeHadler()
# obj.get()
#如果我们想在执行get方法前添加一个方法,哪我们就要讲HomeHadler的构造方法中添加一个功能,就可以了
#HomeHadler我们没有写构造方法,哪我们就去找他的父类的构造方法
#在tornado.web.RequestHandler内部我们看到了这个钩子,是预留好的,自己可以自定义的
# def initialize(self):
# pass
#我们就可以修改源码了,但是如果修改了源码,哪我们在线上线下布置的环境中就都需要修改这个源码,
#所以我们就使用继承的方式,将这个initialize使用上
class HomeHadler(tornado.web.RequestHandler):
def initialize(self):
print("123123") #此时就会先执行initialize def get(self):
self.write("OK")
如果一个类使用上面的解决方式就可以实现了。但是如果要是很多类都需要使用initialize方法,并且还需要修改,上面的方法就有些蠢了
那么我们就可以使用一个继承来解决这个问题了。
class MyRequestHandler(tornado.web.RequestHandler):
def initialize(self):
print("") class HomeHadler(MyRequestHandler): def get(self):
self.write("OK") class HostHadler2(MyRequestHandler): #这种方式的话就可以方便统一使用,统一修改了
def get(self):
self.write("OK")
思考:
HomeHadler 或者 HostHadler2中的self和 MyRequestHandler中的self是否一样
是一样的
因为在我们创建对象的时候
obj = HostHadler()
obj.initialize() 如果在HomeHadler中没有,就回去他的父类MyRequestHandler中寻找,所以他们两个obj对象是一个,这样就可以判断出self是一个了
答案
所以我们就可以把代码改动一下做个试验
lass MyRequestHandler(tornado.web.RequestHandler):
def initialize(self):
self.sss = {"k",123} class HomeHadler(MyRequestHandler): def get(self):
print(self.sss)
self.write("OK") 这会执行结果就是
"k",123
言归正传:给浏览器的cookie设置session
application = tornado.web.Application([
(r"/main", home.MainHadler),
], **settings) #只需要在application这里增加setttings这个配置 application.add_handlers("cmdb.old.com",[
(r"/home", home.HomeHadler),
])
container = {}
class Session:
def __init__(self, handler): #3、handler就是之前传递过来的handler方法,所以它也会有setcookie方法。
self.cookie = client_publish.md5_str() #先生成一个变化的cookie
client_cookie = handler.get_cookie("__session_id__") #获取客户端的cookie
if client_cookie: #如果获取到cookie
if client_cookie in container: #检查这个cookie是否存在在container中
#如果客户端访问的md5在我的列表中证明是真的
print("有cookie")
self.r_str = client_cookie #设置一个字段,以备以后调用
else:#否则就是假的
handler.set_cookie("__session_id__",self.cookie) #设置一个新的cookie
print("假的cookie")
container[self.cookie] = {} #把这个cookie放在字典中
self.r_str = self.cookie #同样因为是新生成的cookie,还是设置一个字段,以备后患
else:
container[self.cookie] = {} #如果没有设置cookie,第一次访问
print("没有cookie")
handler.set_cookie("__session_id__", self.cookie) #设置cookie
self.r_str = self.cookie
class MyRequestHandler(tornado.web.RequestHandler):
def initialize(self): ##2、执行这个initalize函数
#在RequestHandler中有set_cookie方法
self.key = Session(self) #我们把self传递给Session 自定义的这个类中
class HomeHadler(MyRequestHandler): ## 1、第一部会先执行这个函数并向客户端浏览器会写 set cookie,但在回写之前,执行了父类中的构造函数
def get(self):
#self.set_cookie() 因为这里继承了MyRequestHandler,所以在这里也有set cookie方法
self.write("set cookie")
python_way ,day23 API的更多相关文章
- python_way ,day22 tonardo
python_way day22 1.tonardo 2.cookie 3.api认证 一.tonardo: a.tonardo 初识 #!/usr/bin/env python3# Created ...
- python_way day12 sqlalchemy,原生mysql命令
python_way day12 sqlalchemy,mysql原生命令 1.sqlalchemy 2.mysql 原生命令 一,sqlalchemy SQLAlchemy本身无法操作数据库,其必 ...
- day23 框架之基础加强
day23 框架之基础加强 今日任务 aptana(javascript的eclipse插件):http://www.cnblogs.com/terrylin/archive/2012/06/20/2 ...
- python_way ,day22 tonardo,jsonp
python_way day22 1.tonardo 2.cookie 3.api认证 一.tonardo: a.tonardo 初识 #!/usr/bin/env python3# Created ...
- 干货来袭-整套完整安全的API接口解决方案
在各种手机APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的WEB API大量存在,安全性令人堪优 在以前WEB API概念没有很普及的时候,都采用自已定义的接口和结构,对 ...
- 12306官方火车票Api接口
2017,现在已进入春运期间,真的是一票难求,深有体会.各种购票抢票软件应运而生,也有购买加速包提高抢票几率,可以理解为变相的黄牛.对于技术人员,虽然写一个抢票软件还是比较难的,但是还是简单看看123 ...
- 几个有趣的WEB设备API(二)
浏览器和设备之间还有很多有趣的接口, 1.屏幕朝向接口 浏览器有两种方法来监听屏幕朝向,看是横屏还是竖屏. (1)使用css媒体查询的方法 /* 竖屏 */ @media screen and (or ...
- html5 canvas常用api总结(三)--图像变换API
canvas的图像变换api,可以帮助我们更加方便的绘画出一些酷炫的效果,也可以用来制作动画.接下来将总结一下canvas的变换方法,文末有一个例子来更加深刻的了解和利用这几个api. 1.画布旋转a ...
- JavaScript 对数据处理的5个API
JavaScript对数据处理包括向上取整.向下取整.四舍五入.固定精度和固定长度5种方式,分别对应ceil,floor,round,toFixed,toPrecision等5个API,本文将对这5个 ...
随机推荐
- linux文件所属用户和组
使用chown命令可以修改文件或目录所属的用户: 命令:chown 用户 目录或文件名 例如:chown -R qq /home/qq (把home目录下的qq目录的拥有者改为qq用户) 使用chg ...
- dom4j读写XML文件
XML文件格式: <?xml version="1.0" encoding="UTF-8"?> <company> <employ ...
- 理解Linux中断 (1)【转】
转自:http://blog.csdn.net/tommy_wxie/article/details/7425685 版权声明:本文为博主原创文章,未经博主允许不得转载. 一直认为,理解中断是理解内核 ...
- Hibernate,JPA注解@ManyToMany_JoinTable
可以通过@ManyToMany注解可定义的多对多关联.同时,也需要通过注解@JoinTable描述关联表和关联条件.如果是双向关联,其中一段必须定义为owner,另一端必须定义为inverse(在对关 ...
- maven手动安装jar到本地仓库
比如oracle驱动ojdbc5.jar 1,安装MAVEN,并配置系统环境变量 2,将jar文件复制到d: 3,打开cmd窗口,cd到d: 4,执行命令:mvn install:install-fi ...
- mysqlbinlog抽取二进制日志中某库某表的日志
1.先使用myqlbinlog命令把整个库的二进制日志抽取出来 mysqlbinlog --database=db_name mysql-bin.xxxxxx > db_name.sql 2.然 ...
- jdbc连接集合
JDBC里统一的使用方法: Class.for(jdbcDriverName); Connection conn=DriverManager.getConnection(url,u ...
- YTU 3020: 对称矩阵(数组)
3020: 对称矩阵(数组) 时间限制: 1 Sec 内存限制: 128 MB 提交: 3 解决: 2 题目描述 已知A和B为两个n*n阶的对称矩阵,输入时,对称矩阵只输入下三角行元素,存入一维数 ...
- Winform知识
文档界面 分类: 1.单文档界面应用程序(SDI) 特点: 1.应用程序中SDI的所有窗体都彼此独立 2.多文档界面应用程序(MDI) 特点: 1.每个应用程序中只能有一个MDI父窗体,在父窗体中可以 ...
- javaWEB国际化(jsp中使用)
在jsp页面中使用国际化方法,首先将jstl开源架包:jstl.jar,standard.jar导进去 并在src目录下建立以test开头,.properties结尾的文件:test_en_US.pr ...