最安全的api接口认证

实现步骤:

1、客户端与服务器都存放着用于验证的Token字段,客户端在本地把自己的 用户名+时间戳+Token 组合进行MD5加密后生成一段新的md5-token。

2、客户端访问的时候携带:用户名、时间戳、md5-token。

3、服务端收到请求后,先判断用户名、时间戳是否合法、假设先判断发送过来的时间戳和现在的时间戳不能大于2分钟。

4、如果是在2分钟之内,到redis里查看有没有该用户为key对应的md5-token,并判断它和发送过来的md5-token是否相同,如果有相同,说明该md5-token已经请求过,不能在操作,如果没找到相同的md5-token,说明是第一次请求,把用户名为key,md5-token为vallue存入redis,存在时间设为2分钟。

5、如果以上都通过了,在去数据库取出用户名和Token字段像客户端一样的方式进行加密。对比两个加密字段,相同则通过验证。

1、例如我们在请求的url后带上 用户名+时间戳+加密的Token

客户端

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import os

BaseDir = os.path.dirname(os.path.dirname(os.path.abspath(__file__)))

Params = {

    "server": "127.0.0.1",

    "port":8000,

    'request_timeout':30,

    "urls":{

          "asset_report_no_id":"/asset/asset_report_no_id/",

          "asset_report":"/asset/asset_report/",

        },

    'asset_id_path':'%s/var/.asset_id' % BaseDir,

    'log_file': '%s/logs/run_log' % BaseDir,

    'auth':{

        'user':'123456789@qq.com',

        'token': 'abc'

        },

}
url=http://127.0.0.1:8000/asset/
import hashlib,time

def get_token(username,token_id):

    timestamp = int(time.time())

    md5_format_str = "%s\n%s\n%s" %(username,timestamp,token_id)

    obj = hashlib.md5()

    obj.update(md5_format_str)

    print "token format:[%s]" % md5_format_str

    print "token :[%s]" % obj.hexdigest()

    return obj.hexdigest()[10:17], timestamp
def attach_token(url_str):

    '''生成一个加密验证在url后'''

    user = settings.Params['auth']['user']

    token_id = settings.Params['auth']['token']

    md5_token,timestamp = get_token(user,token_id)

    url_arg_str = "user=%s&timestamp=%s&token=%s" %(user,timestamp,md5_token)

    if "?" in url_str:

        new_url = url_str + "&" + url_arg_str

    else:

        new_url = url_str + "?" + url_arg_str

    return  new_url

#生成一个带着加密token的url

url = attach_token(url)

发送请求

data_encode = urllib.urlencode(asset_data)#asset_data为要发送的数据

req = urllib2.Request(url=url,data=data_encode)

res_data = urllib2.urlopen(req,timeout=settings.Params['request_timeout'])

callback = res_data.read()

callback = json.loads(callback)

print (callback)

服务端

2、我们给服务端写一个装饰器token_required,用来验证

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import time,hashlib,json

from asset import models

from django.shortcuts import render,HttpResponse

from cmdb import settings

from django.core.exceptions import ObjectDoesNotExist

def gen_token(username,timestamp,token):

    token_format = "%s\n%s\n%s" %(username,timestamp,token)

    obj = hashlib.md5()

    obj.update(token_format)

    return obj.hexdigest()[10:17]

def token_required(func):

    def wrapper(*args,**kwargs):

        response = {"errors":[]}

        get_args = args[0].GET

        username = get_args.get("user")

        token_md5_from_client = get_args.get("token")

        timestamp = get_args.get("timestamp")

        if not username or not timestamp or not token_md5_from_client:

            response['errors'].append({"auth_failed":"This api requires token authentication!"})

            return HttpResponse(json.dumps(response))

        try:

            if abs(time.time() - int(timestamp)) > settings.TOKEN_TIMEOUT:#验证时间有没有超过2分钟

                response['errors'].append({"auth_failed":"The token is expired!"})

            else:

                '''如果没超过两分钟,检查redis里有没有这个加密token'''

                red_result = __redies_token(username,token_md5_from_client)

                if red_result:  #等于True说明是第一次请求,进入下一步验证

                    user_obj = models.MyUser.objects.get(email=username)

                    token_md5_from_server = gen_token(username,timestamp,user_obj.token)

                    if token_md5_from_client != token_md5_from_server:

                        response['errors'].append({"auth_failed":"Invalid username or token_id"})

                    else:

                        print("通过验证")

                else:

                    response['errors'].append({"auth_failed":"The token is expired!"})

                print("\033[41;1m;%s ---client:%s\033[0m" %(time.time(),timestamp), time.time() - int(timestamp))

        except ObjectDoesNotExist as e:

            response['errors'].append({"auth_failed":"Invalid username or token_id"})

        if response['errors']:

            return HttpResponse(json.dumps(response))

        else:

            return  func(*args,**kwargs)

    return wrapper

def __redies_token(username,token_md5_from_client):

    import redis

    r = redis.Redis(host='192.168.0.109', port=6379)

    val =  r.get(username)

    if val == token_md5_from_client:

        print("是以请求过的token")

        return False

    else:#不存在,则以用户名为key,加密的token为value存入缓存,存在时间2分钟

        r.set(username, token_md5_from_client,ex=120)

        return True

最安全的api接口认证的更多相关文章

  1. API接口认证

    restful API接口可以很方便的让其他系统调用,为了让指定的用户/系统可以调用开放的接口,一般需要对接口做认证; 接口认证有两种方式: 1.认证的token当做post/get的参数,serve ...

  2. spring boot 2 集成JWT实现api接口认证

    JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...

  3. 每天一点点之laravel框架 - Laravel5.6 + Passport实现Api接口认证

    1.首先通过 Composer 包管理器安装 Passport: composer require laravel/passport 注:如果安装过程中提示需要更高版本的 Laravel:larave ...

  4. python api接口认证脚本

    import requests import sys def acces_api_with_cookie(url_login, USERNAME, PASSWORD, url_access):     ...

  5. Django项目:CMDB(服务器硬件资产自动采集系统)--03--03CMDB信息安全API接口交互认证

    #settings.py """ Django settings for AutoCmdb project. Generated by 'django-admin sta ...

  6. 03: zabbix API接口 对 主机、主机组、模板、应用集、监控项、触发器等增删改查

    目录:Django其他篇 01: 安装zabbix server 02:zabbix-agent安装配置 及 web界面管理 03: zabbix API接口 对 主机.主机组.模板.应用集.监控项. ...

  7. api接口思路介绍

    现在很流行api了,但各种api做法不一样,下面我整理了一些自己的想法,也是看了各大门户网站开放的api应用想到的,与大家分享分享,高手跳过.   API(Application Programmin ...

  8. api接口对于客户端的身份认证方式以及安全措施

    转载 基于http协议的api接口对于客户端的身份认证方式以及安全措施 由于http是无状态的,所以正常情况下在浏览器浏览网页,服务器都是通过访问者的cookie(cookie中存储的jsession ...

  9. 使用Flask设计带认证token的RESTful API接口

    大数据时代 Just a record. 使用Flask设计带认证token的RESTful API接口[翻译] 上一篇文章, 使用python的Flask实现一个RESTful API服务器端  简 ...

随机推荐

  1. hihocoder 1425What a Beautiful Lake(实验专用)

    Problem D. What a Beautiful Lake Description Weiming Lake, also named "Un-named Lake", is ...

  2. CentOS7中,vnc分辨率设置。

    使用geometry参数进行调整 例如,我们需要将分辨率调整到800x600 [root@secdb ~]# vncserver -geometry 800x600 New 'secdb:5 (roo ...

  3. HDU 3932 模拟退火

    HDU3932 题目大意:给定一堆点,找到一个点的位置使这个点到所有点中的最大距离最小 简单的模拟退火即可 #include <iostream> #include <cstdio& ...

  4. Android服务Service

    安卓Service服务 一    Service简介 Service是运行在后台的,没有界面的,用来处理耗时比较长的.Service不是一个单独的进程,也不是一个单独的线程. Service有两种类型 ...

  5. Linux下出现launch failed.Binary not found的解决方案

    Linux下出现launch failed.Binary not found的解决方案: Project->Properties->C/C++Build->Settings-> ...

  6. python学习之-- RabbitMQ 消息队列

    记录:异步网络框架:twisted学习参考:www.cnblogs.com/alex3714/articles/5248247.html RabbitMQ 模块 <消息队列> 先说明:py ...

  7. Mysql 数据库允许远程连接 服务器连接错误 Host 'XXX' is not allowed to connect to this MySQL server

    如果连接数据库的时候出现这个问题 Host 'XXX' is not allowed to connect to this MySQL server 说明 Mysql数据库 不允许远程连接, 需要修改 ...

  8. Eclipse注释模板配置

    不过感觉作用不大,因为@date这些不是标准的Java注释.

  9. apc smart UPS下使用apcupsd注意事项

    公司的apc smart UPS安装有管理卡(似乎是AP-9631),server环境有FreeBSD.Windows Server.Linux(CentOS.Ubuntu) 实际使用中有例如以下问题 ...

  10. Codefoces 436 B. Om Nom and Spiders

    纯属练习JAVA.... B. Om Nom and Spiders time limit per test 3 seconds memory limit per test 256 megabytes ...