Django API验证(令牌)

最新推荐文章于 2024-07-06 09:55:31 发布
转载 最新推荐文章于 2024-07-06 09:55:31 发布 · 486 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/supery007/p/10388252.html
文章标签:

#python #数据库

本文介绍了一种基于MD5加密和时间戳的API安全验证机制,包括客户端如何生成动态令牌,服务器端如何验证令牌的时效性和唯一性,以及如何通过三次验证确保API请求的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 获取接口信息

Client端

import requests
import time
import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'
new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()
m.update(bytes(new_key, encoding='utf-8'))
md5_key = m.hexdigest()
md5_key_key = "%s|%s" % (md5_key, ctime)
print(md5_key_key)
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

2. 验证令牌信息

Server端

import hashlib
import time
from django.shortcuts import render,HttpResponse
from django.conf import settings
api_key_record = {}

def asset(request):
    client_md5_time_key =request.META.get('HTTP_OPENKEY')
    client_md5_key,client_ctime = client_md5_time_key.split('|')

    client_ctime = float(client_ctime)
    server_time = time.time()

    # 第一关:时间关 10s内访问

    if server_time - client_ctime >10:
        return HttpResponse('[第一关] 访问时间超时!')

    # 第二关:规则关 防止修改时间
    temp = "%s|%s"%(settings.AUTH_KEY,client_ctime,)
    m = hashlib.md5()
    m.update(bytes(temp,encoding='utf-8'))
    server_md5_key = m.hexdigest()
    if server_md5_key != client_md5_key:
        return HttpResponse('[第二关] 规则不正确')

    for k in list(api_key_record.keys()):
        v = api_key_record[k]
        if server_time > v:
            del api_key_record[k]

    # 第三关
    if client_md5_time_key in api_key_record:
        return HttpResponse('[第三关] 令牌已使用过')
    else:
        api_key_record[client_md5_time_key] = client_ctime +10

    if request.method == "GET":
        return HttpResponse('GET: 获取重要数据')
    elif request.method == "POST":
        return HttpResponse('POST')

3. 模拟请求

正常请求:nomary GET请求

import requests
import time
import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'
new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()
m.update(bytes(new_key, encoding='utf-8'))
md5_key = m.hexdigest()
md5_key_key = "%s|%s" % (md5_key, ctime)
print(md5_key_key)
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

正常请求结果

f8012ba778903e8dd1185173ed33b0b8|1550306560.9089868
GET: 获取重要数据

骇客攻击请求

hack请求

import requests

md5_key_key = '5e287e46a67ec778df70d27e7a5b8d6e|1550306579.3672032'
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

hack请求结果

[第三关] 令牌已使用过

 总结:

第一关:时间关  客户端的时间和服务端的时间进行比较  10s内是正常访问 超过10s则为超时访问
                if server_time - client_ctime > 10:
                    return HttpResponse('[第一关] 访问时间超时!')

第二关:规则关 防止修改时间 服务端把服务期设置的key和客户端发来的时间进行md5加密 然后再和客户端发来的动态令牌进行比较是否一致

第三关:过期令牌删除
    1、判断客户端的令牌是否在api记录里
    2、如果在表示已使用不再被使用
    3、如果不在将令牌作为key 客户端时间+10作为value放在api记录里
    4、这样每次在判断令牌是否在记录表中的时候,先遍历记录表进行比较
    比较当前的服务时间是否大于客户端+10s的时间key,如果大于则已过期直接删除,否则不做处理
    5、当然如果用redis的话,这部操作不用关心,redis key 5s  key后面指定时间redis会自动删除

 

转载于:https://www.cnblogs.com/supery007/p/10388252.html

django中的api安全验证解析
Lin的博客
06-20 4671
文章转自--铠甲巨人:https://www.cnblogs.com/ArmoredTitan/p/7639387.html目的:为了客户端与服务器端之间的访问安全,不被第三者拦截,所以需要api验证。客户端部分:首先需要写一段复杂的key,用key来作为安全秘钥,同样在服务器端也会有一个相同的key。然后我们还需要一个时间戳。#时间戳可以相当于动态加密之后将key和时间戳拼接,再用Md5方法加密...
Django实现API配合JWT进行用户验证的方法
热门推荐
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目中通过 JWT 实现 API 认证控制。从 Session 与 JWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
Django REST framework 之 API认证
afftl7302的博客
01-27 357
RESTful API 认证   和 Web 应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,因为用户授权状态可能没通过 sessions 或 cookies 维护, 常用的做法是每个请求都发送一个秘密的 access token 来认证用户, 由于 access token 可以唯一识别...
如何使用Django REST框架实现令牌身份验证
FatPuffer
12-30 792
 在本教程中,您将学习如何使用Django REST框架(DRF)实现基于标记的身份验证令牌身份验证的工作方式是将用户名和密码交换为令牌,以便在所有后续请求中使用该令牌来标识服务器端的用户。 1. 设置项目   让我们从头开始。安装Django和DRF: pip install django pip install djangorestframework   新建一个项目 django-adm...
Django RestfulApi认证
weixin_43692357的博客
04-10 466
1、配置setting,引入rest_framework。 INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages...
Django REST API令牌身份验证和社交媒体集成指南
Django项目中,令牌认证是一种常见的方式,用于处理API调用的身份验证。开发者通常使用django-rest-auth库,它提供了用户认证的便利工具,比如token认证。这种方式允许系统在用户进行API调用时验证其身份,而不...
django-angular-auth:实现Django与Angular令牌身份验证教程
前端在后续的API请求中会携带这个令牌,后端通过验证令牌来确认用户的身份。 5. 使用git进行版本控制 git是一个开源的分布式版本控制系统,可以有效跟踪项目文件的变化。该项目提供了一个git仓库地址,开发者可以...
Django REST Framework令牌认证代码示例教程
### Django REST Framework令牌认证示例知识点 #### Django REST Framework基础 Django REST Framework(DRF)是一个强大的、灵活的工具,用于构建Web API。它基于Django Web框架,设计用来处理各种HTTP请求,如...
django-auth-adfs:用于Microsoft ADFS和AzureAD的Django身份验证后端
02-04
django-auth-adfs中,JWT可能被用作用户认证的令牌,以验证用户身份。 2. **Django OAuth2**:OAuth2是一个授权框架,允许第三方应用获取用户的有限权限,而无需共享用户名和密码。django-auth-adfs可能支持OAuth...
Django REST framework 中实现 API 认证和授权
weixin_41276201的博客
04-13 1198
要在 Django REST framework 中实现 API 认证和授权,您可以使用内置的身份验证和权限类。步骤 2:安装django-rest-auth django-rest-auth 提供了简单易用的登录、登出、注册等认证功能。默认情况下,您的 API 端点将需要身份验证,因为我们在步骤 4 中配置了。在使用这些端点时,请确保每个需要身份验证的请求都包含了正确的认证令牌。根据您的需要,您还可以在视图层面覆盖默认的身份验证和权限类。的一个分支,支持更新的 Django 版本。
django jwt token 令牌
廷益_飞鸟的博客
02-23 277
jwt的使用 jwt官网:https://jwt.io/ 1.header {‘alg’:‘HS256’, ‘typ’:‘JWT’} 2.payload { ‘exp’:xxx, # Expiration Time 此token的过期时间的时间戳 ‘iss’:xxx,# (Issuer) Claim 指明此token的签发者 ‘aud’:xxx, #(Audience) Claim 指明此token的 ‘iat’:xxx, # (Issued At) Claim 指明此创建时间的时间戳 ‘aud’:.
Django实现接口自动化平台(二)认证&授权&登录【持续更新中】
喵酱
05-30 1854
ngo实现接口自动化平台(二)认证&授权&登录
实验:动态口令认证
最新发布
weixin_68683692的博客
07-06 1718
客户端生成动态口令的过程是:首先将用户口令与固定密钥连接起来,然后调用 generate_dynamic_password 函数生成动态口令 password1。密码在规定时间段(默认为30秒)内不断变化。最后,客户端将在本地生成的动态口令 password1 和从服务器接收到的动态口令 password2 进行比较,如果两者相同则认为连接成功,否则连接失败。通过以上步骤,这个函数生成了一个基于密钥和时间步长的动态口令,该口令每隔指定的时间周期(这里设置为30秒)自动变化。
django---APIView用户认证源码分析
全干工程师
04-10 1802
在上篇博客笔记APIView用户认证小例子 我们通过一个简单的小例子了解了,在request请求api接口时候,是如何进行请求验证的,这篇博客就来分析源码, 以下4篇笔记或多或少对APIView、View、mixins模块、GenericViewSet进行了分析 CBV源码分析 APIView源码分析 mixins模块及其GenericAPIView类源码分析 GenericViewS...
python调用api做用户登录认证,django rest framework 实现用户登录认证详解
weixin_33312000的博客
03-26 1040
1、安装pip install djangorestframework2、创建项目及应用目录结构如图3、设置settings.py设置数据库连接# MySQL 增加mysql 连接DATABASES = {'default':{'ENGINE':'django.db.backends.mysql','HOST':'127.0.0.1','PORT':'3306','NAME':'dbname', ...
Django
jealous的博客
08-02 244
1.MVC(model, view, controller) MVC框架的核心:解耦 降低各功能模块之间的耦合性,方便变更,更容易重构代码,最大程度上实现代码的重用 model:数据库层的封装 view:向用户展示结果 controller:处理请求,获取数据,返回结果 2.MVT(modle, view, template) mvt中的v t相当...
django的session认证原理
veujs的博客
11-30 334
django的session认证原理逻辑梳理
Django RESTful API (4) 认证和权限
super1peng的博客
03-14 1324
欢迎关注个人微信公众号,大大大碗面,不定期分享AI论文解读和开发技术,互联网小白,轻喷~ 前言 按照前面几篇文章的介绍,使用Django编写RESTful API的基本功能已经像模像样了。我们可以通过不同的URL访问到不同的资源,通过不同的HTTP请求来实现对资源的不同操作。 但是现在我们的API还有一个明显的缺陷,那就是没有认证和权限功能,任何资源都会被任何用户随意更改,所以我们要改进程序,实...
Django实战搭建mock系统(六)_邮件发送令牌,点击令牌激活账号
qq_38175040的博客
06-13 477
一.激活流程 现在很多网站都有激活流程,就是登录的时候给你绑定的邮箱发送一个网址,然后你打开自己的邮箱,点击发送过来的网址或者发送过来的令牌,从而完成激活流程。 典型的有steam或者switch注册,比如这样: 在models里面新建一个model,字段如下: class EmailVerify(models.Model): code = models.CharField( max_length=6, verbose_name='令牌' ) em
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值