最安全的api接口认证

实现步骤:

1、客户端与服务器都存放着用于验证的Token字段,客户端在本地把自己的 用户名+时间戳+Token 组合进行MD5加密后生成一段新的md5-token。

2、客户端访问的时候携带:用户名、时间戳、md5-token。

3、服务端收到请求后,先判断用户名、时间戳是否合法、假设先判断发送过来的时间戳和现在的时间戳不能大于2分钟。

4、如果是在2分钟之内,到redis里查看有没有该用户为key对应的md5-token,并判断它和发送过来的md5-token是否相同,如果有相同,说明该md5-token已经请求过,不能在操作,如果没找到相同的md5-token,说明是第一次请求,把用户名为key,md5-token为vallue存入redis,存在时间设为2分钟。

5、如果以上都通过了,在去数据库取出用户名和Token字段像客户端一样的方式进行加密。对比两个加密字段,相同则通过验证。

1、例如我们在请求的url后带上 用户名+时间戳+加密的Token

客户端

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import os

BaseDir = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))

Params = {

    "server": "127.0.0.1",

    "port":8000,

    'request_timeout':30,

    "urls":{

          "asset_report_no_id":"/asset/asset_report_no_id/",

          "asset_report":"/asset/asset_report/",

        },

    'asset_id_path':'%s/var/.asset_id' % BaseDir,

    'log_file': '%s/logs/run_log' % BaseDir,

    'auth':{

        'user':'123456789@qq.com',

        'token': 'abc'

        },

}
url=http://127.0.0.1:8000/asset/
import hashlib,time

def get_token(username,token_id):

    timestamp = int(time.time())

    md5_format_str = "%s\n%s\n%s" %(username,timestamp,token_id)

    obj = hashlib.md5()

    obj.update(md5_format_str)

    print "token format:[%s]" % md5_format_str

    print "token :[%s]" % obj.hexdigest()

    return obj.hexdigest()[10:17], timestamp
def attach_token(url_str):

    '''生成一个加密验证在url后'''

    user = settings.Params['auth']['user']

    token_id = settings.Params['auth']['token']

    md5_token,timestamp = get_token(user,token_id)

    url_arg_str = "user=%s&timestamp=%s&token=%s" %(user,timestamp,md5_token)

    if "?" in url_str:

        new_url = url_str + "&" + url_arg_str

    else:

        new_url = url_str + "?" + url_arg_str

    return  new_url

#生成一个带着加密token的url

url = attach_token(url)

发送请求

data_encode = urllib.urlencode(asset_data)#asset_data为要发送的数据

req = urllib2.Request(url=url,data=data_encode)

res_data = urllib2.urlopen(req,timeout=settings.Params['request_timeout'])

callback = res_data.read()

callback = json.loads(callback)

print (callback)

服务端

2、我们给服务端写一个装饰器token_required,用来验证

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import time,hashlib,json

from asset import models

from django.shortcuts import render,HttpResponse

from cmdb import settings

from django.core.exceptions import ObjectDoesNotExist

def gen_token(username,timestamp,token):

    token_format = "%s\n%s\n%s" %(username,timestamp,token)

    obj = hashlib.md5()

    obj.update(token_format)

    return obj.hexdigest()[10:17]

def token_required(func):

    def wrapper(*args,**kwargs):

        response = {"errors":[]}

        get_args = args[0].GET

        username = get_args.get("user")

        token_md5_from_client = get_args.get("token")

        timestamp = get_args.get("timestamp")

        if not username or not timestamp or not token_md5_from_client:

            response['errors'].append({"auth_failed":"This api requires token authentication!"})

            return HttpResponse(json.dumps(response))

        try:

            if abs(time.time() - int(timestamp)) > settings.TOKEN_TIMEOUT:#验证时间有没有超过2分钟

                response['errors'].append({"auth_failed":"The token is expired!"})

            else:

                '''如果没超过两分钟,检查redis里有没有这个加密token'''

                red_result = __redies_token(username,token_md5_from_client)

                if red_result:  #等于True说明是第一次请求,进入下一步验证

                    user_obj = models.MyUser.objects.get(email=username)

                    token_md5_from_server = gen_token(username,timestamp,user_obj.token)

                    if token_md5_from_client != token_md5_from_server:

                        response['errors'].append({"auth_failed":"Invalid username or token_id"})

                    else:

                        print("通过验证")

                else:

                    response['errors'].append({"auth_failed":"The token is expired!"})

                print("\033[41;1m;%s ---client:%s\033[0m" %(time.time(),timestamp), time.time() - int(timestamp))

        except ObjectDoesNotExist as e:

            response['errors'].append({"auth_failed":"Invalid username or token_id"})

        if response['errors']:

            return HttpResponse(json.dumps(response))

        else:

            return  func(*args,**kwargs)

    return wrapper

def __redies_token(username,token_md5_from_client):

    import redis

    r = redis.Redis(host='192.168.0.109', port=6379)

    val =  r.get(username)

    if val == token_md5_from_client:

        print("是以请求过的token")

        return False

    else:#不存在,则以用户名为key,加密的token为value存入缓存,存在时间2分钟

        r.set(username, token_md5_from_client,ex=120)

        return True

最安全的api接口认证的更多相关文章

  1. API接口认证

    restful API接口可以很方便的让其他系统调用,为了让指定的用户/系统可以调用开放的接口,一般需要对接口做认证; 接口认证有两种方式: 1.认证的token当做post/get的参数,serve ...

  2. spring boot 2 集成JWT实现api接口认证

    JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...

  3. 每天一点点之laravel框架 - Laravel5.6 + Passport实现Api接口认证

    1.首先通过 Composer 包管理器安装 Passport: composer require laravel/passport 注:如果安装过程中提示需要更高版本的 Laravel:larave ...

  4. python api接口认证脚本

    import requests import sys def acces_api_with_cookie(url_login, USERNAME, PASSWORD, url_access):     ...

  5. Django项目:CMDB(服务器硬件资产自动采集系统)--03--03CMDB信息安全API接口交互认证

    #settings.py """ Django settings for AutoCmdb project. Generated by 'django-admin sta ...

  6. 03: zabbix API接口 对 主机、主机组、模板、应用集、监控项、触发器等增删改查

    目录:Django其他篇 01: 安装zabbix server 02:zabbix-agent安装配置 及 web界面管理 03: zabbix API接口 对 主机.主机组.模板.应用集.监控项. ...

  7. api接口思路介绍

    现在很流行api了,但各种api做法不一样,下面我整理了一些自己的想法,也是看了各大门户网站开放的api应用想到的,与大家分享分享,高手跳过.   API(Application Programmin ...

  8. api接口对于客户端的身份认证方式以及安全措施

    转载 基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsession ...

  9. 使用Flask设计带认证token的RESTful API接口

    大数据时代 Just a record. 使用Flask设计带认证token的RESTful API接口[翻译] 上一篇文章, 使用python的Flask实现一个RESTful API服务器端  简 ...

随机推荐

  1. 可拔插的 IOC 容器

    可拔插的 IOC 容器 于是我打算自己实现一个这样的 bean 容器. 但在实现之前又想到一个 feature: 不如把实现 bean 容器的方案交给使用者选择,可以选择使用 bean 容器,也可以就 ...

  2. 洛谷P1432 倒水问题

    题目背景 In the movie "Die Hard 3", Bruce Willis and Samuel L. Jackson were confronted with th ...

  3. SQL Server 创建唯一约束sql语句

    SQL Server 创建唯一约束sql语句   语句示例:   在创建表是时同时创建, 创建id,name,sex三个字段的唯一索引 create table t1( id int primary ...

  4. 安装Android SDK(东软开源镜像介绍)

    启动 Android SDK Manager ,打开主界面,依次选择「Tools」.「Options...」,弹出『Android SDK Manager - Settings』窗口: 在『Andro ...

  5. jquery serializeArray() 方法通过序列化表单值来创建对象数组(名称和值)。

    serializeArray() 方法序列化表单元素(类似 .serialize() 方法),返回 JSON 数据结构数据. html代码: <form> <div><i ...

  6. P2820 局域网 洛谷

    https://www.luogu.org/problem/show?pid=2820 题目背景 某个局域网内有n(n<=100)台计算机,由于搭建局域网时工作人员的疏忽,现在局域网内的连接形成 ...

  7. 纠结的链接——ln、ln -s、fs.symlink、require

    纠结的链接--ln.ln -s.fs.symlink.require 提交 我的留言 加载中 已留言 inode 我们首先来看看 linux 系统里面的一个重要概念:inode. 我们知道,文件存储在 ...

  8. HDU 1201 18岁生日 【日期】

    18岁生日 Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java/Others) Total Subm ...

  9. Deepin-安装QQ音乐(Windows程序)

    打开命令行,输入: sudo apt-get install wine 安装完成后,下载QQ音乐的安装包 然后安装 示例:wine xx.exe 实例:wine QQMusic.exe 安装完成,启动 ...

  10. python菜鸟日记1

    1. 在__init__(self,...)初始化函数中.定义对象的属性,这些属性不用所有写在括号里,括号里的表示定义的时候须要赋初始值的一些属性,而其它不用初始值的属性.能够 直接卸载代码块中,se ...