zrr
zrr
@zrr

Django动态令牌验证,简单的一个函数实现实时验证,应用装饰器实现全局验证

服务端

import hashlib
import time
from django.shortcuts import render,HttpResponse
from django.conf import settings
api_key_record = {}

def asset(request):
    client_md5_time_key =request.META.get('HTTP_OPENKEY')
    client_md5_key,client_ctime = client_md5_time_key.split('|')

    client_ctime = float(client_ctime)
    server_time = time.time()

    # 第一关:时间关 10s内访问
    if server_time - client_ctime >10:
        return HttpResponse('[第一关] 访问时间超时!')

    # 第二关:规则关 防止修改时间
    temp = "%s|%s"%(settings.AUTH_KEY,client_ctime,)
    m = hashlib.md5()
    m.update(bytes(temp,encoding='utf-8'))
    server_md5_key = m.hexdigest()
    if server_md5_key != client_md5_key:
        return HttpResponse('[第二关] 规则不正确')

    for k in list(api_key_record.keys()):
        v = api_key_record[k]
        if server_time > v:
            del api_key_record[k]

    # 第三关
    if client_md5_time_key in api_key_record:
        return HttpResponse('[第三关] 令牌已使用过')
    else:
        api_key_record[client_md5_time_key] = client_ctime +10
       if request.method == "GET":
        return HttpResponse('GET: 获取重要数据')
    elif request.method == "POST":
        return HttpResponse('POST')

客户端

模拟GET请求

import requests
import time
import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'
new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()
m.update(bytes(new_key, encoding='utf-8'))
md5_key = m.hexdigest()
md5_key_key = "%s|%s" % (md5_key, ctime)
print(md5_key_key)
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

正常请求结果

f8012ba778903e8dd1185173ed33b0b8|1550306560.9089868
GET: 获取重要数据

hack请求

import requests

md5_key_key = '5e287e46a67ec778df70d27e7a5b8d6e|1550306579.3672032'
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

hack请求结果

[第三关] 令牌已使用过

结尾

  • 第一关:时间关 客户端的时间和服务端的时间进行比较 10s内是正常访问 超过10s则为超时访问

     if server_time - client_ctime > 10:
                        return HttpResponse('[第一关] 访问时间超时!')
  • 第二关:规则关 防止修改时间 服务端把服务期设置的key和客户端发来的时间进行md5加密 然后再和客户端发来的动态令牌进行比较是否一致
  • 第三关:过期令牌删除

    1. 判断客户端的令牌是否在api记录里
    2. 如果在表示已使用不再被使用
    3. 如果不在将令牌作为key 客户端时间+10作为value放在api记录里
    4. 这样每次在判断令牌是否在记录表中的时候,先遍历记录表进行比较比较当前的服务时间是否大于客户端+10s的时间key,如果大于则已过期直接删除,否则不做处理
    5. 当然如果用redis的话,这部操作不用关心,redis key 10s key后面指定时间redis会自动删除

方法写成装饰器使用

抱歉,此处内容请回复后刷新页面查看

Django中类方法前面加@method_decorator(api_auth, name='delete')快速实现TOKEN验证

加载中
上午10:09 · 2021年08月11日
123
0
2
发表留言

学习
Django动态令牌验证
Django动态令牌验证,简单的一个函数实现实时验证,应用装饰器实现全局验证 服务端import hashlib import time ...
扫描右侧二维码继续阅读
August 11, 2021
小丸子好萌!
统计
文章:21 篇
分类:4 个
评论:10 条
运行时长:0年261天
by yoniu.
小丸子好萌!