Python后端学习系列(4):用户认证与授权机制(基于JWT等方式)

最新推荐文章于 2025-08-08 07:55:06 发布
原创 最新推荐文章于 2025-08-08 07:55:06 发布 · 911 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #学习 #开发语言

部署运行你感兴趣的模型镜像

Python后端学习系列(4):用户认证与授权机制(基于JWT等方式)

前言

在之前的Python后端学习中,我们掌握了数据库连接与操作,让后端能够有效地存储和管理数据。而在实际的Web应用中,保障系统安全、对用户进行合理的认证与授权是至关重要的环节。本期我们就来深入探讨Python后端中用户认证与授权机制,尤其是基于JWT(JSON Web Token)等常用方式的实现,一起开启学习之旅吧。

一、用户认证的基本概念与流程

1. 概念

用户认证就是验证用户身份的过程,确保试图访问系统资源的用户是其声称的那个人。比如常见的通过用户名和密码登录网站,网站后台会核实输入的信息与数据库中存储的用户信息是否匹配,以此来判定用户身份的合法性。

2. 基本流程

  • 用户提交凭证:用户在前端界面输入用户名、密码或者其他认证相关信息(如手机号、验证码等),然后通过HTTP请求发送到后端服务器。
  • 服务器验证:后端接收到请求后,从数据库中查找对应的用户记录,对比提交的凭证(如密码的哈希值比对等)是否一致。
  • 返回认证结果:如果验证通过,通常会生成某种标识或者会话信息(如设置会话Cookie等),告知客户端认证成功,后续客户端凭借这个标识来继续访问受保护的资源;若验证失败,则返回相应的错误提示给客户端。

以下是一个简单的基于用户名和密码验证的Python Flask示例代码片段(简化示意,实际应用要考虑更多安全因素):

from flask import Flask, request, jsonify
import hashlib
import sqlite3

app = Flask(__name__)

def hash_password(password):
    return hashlib.sha256(password.encode()).hexdigest()

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')
    hashed_password = hash_password(password)

    conn = sqlite3.connect('example.db')
    cursor = conn.cursor()
    cursor.execute("SELECT * FROM users WHERE username =? AND password =?", (username, hashed_password))
    user = cursor.fetchone()
    cursor.close()
    conn.close()

    if user:
        return jsonify({"message": "Login successful"}), 200
    return jsonify({"message": "Invalid credentials"}), 401

二、JWT(JSON Web Token)的原理与使用

1. 原理

JWT是一种开放标准(RFC 7519),用于在各方之间安全地将信息作为JSON对象传输。它由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。

  • 头部:通常包含令牌的类型(如"JWT")以及所使用的签名算法(如HS256等),经过Base64编码后成为JWT的第一部分。
  • 载荷:存放实际要传递的信息,比如用户ID、用户名、过期时间等自定义声明,同样进行Base64编码,构成JWT的第二部分。
  • 签名:将前面两部分用特定的算法(根据头部中指定的算法)和一个密钥进行加密生成签名,用于验证消息的完整性以及确保发送者的身份,最终这三部分用点号连接起来形成完整的JWT。

2. 使用示例(Python中使用PyJWT库)

首先安装PyJWT库:

pip install PyJWT

以下是生成和验证JWT的示例代码:

生成JWT
import jwt
import datetime

# 密钥(实际应用中要妥善保管)
SECRET_KEY = "your_secret_key"

def generate_token(user_id):
    payload = {
        'user_id': user_id,
        'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=30)  # 设置过期时间
    }
    token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
    return token
验证JWT
def verify_token(token):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
        return payload
    except jwt.ExpiredSignatureError:
        return "Token has expired"
    except jwt.InvalidTokenError:
        return "Invalid token"

三、基于角色的授权机制实现

1. 概念

基于角色的授权是根据用户在系统中所属的角色来决定其对不同资源的访问权限。例如,在一个企业管理系统中,普通员工角色可能只能查看自己的考勤记录,而部门经理角色可以查看和审批部门内所有员工的考勤记录,系统管理员角色则拥有最高权限,可以对整个系统的各类资源进行管理。

2. 实现示例(结合前面的JWT和Flask框架)

假设我们在用户登录成功后,将用户角色信息也放入JWT的载荷中,在后续访问资源时进行权限验证。

from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)
SECRET_KEY = "your_secret_key"

# 模拟用户角色数据(实际应用中从数据库获取)
users = {
    "user1": {"password": "pass1", "role": "employee"},
    "user2": {"password": "pass2", "role": "manager"},
    "user3": {"password": "pass3", "role": "admin"}
}

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')
    user = users.get(username)
    if user and user['password'] == password:
        payload = {
            'user_id': username,
            'role': user['role'],
            'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
        }
        token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
        return jsonify({"token": token})
    return jsonify({"message": "Invalid credentials"}), 401

@app.route('/protected_resource', methods=['GET'])
def protected_resource():
    token = request.headers.get('Authorization').split(' ')[1]
    payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
    role = payload.get('role')
    if role == "admin":
        return jsonify({"message": "Admin access granted. You can manage all resources."})
    elif role == "manager":
        return jsonify({"message": "Manager access granted. You can manage department resources."})
    elif role == "employee":
        return jsonify({"message": "Employee access granted. You can view personal resources."})
    return jsonify({"message": "Unauthorized access"}), 403

四、安全相关的注意事项

1. 密码存储安全

不要直接存储用户的明文密码,应使用哈希算法(如前面示例中的SHA256等)对密码进行处理后再存储到数据库,并且可以考虑添加盐值(随机字符串)来增强安全性,防止彩虹表攻击。

2. JWT密钥保护

JWT的密钥要妥善保管,不能泄露,否则攻击者可以伪造有效的令牌来非法访问系统资源。

3. 输入验证

对用户输入的信息要进行严格验证,防止SQL注入、跨站脚本攻击(XSS)等,比如在查询数据库时使用参数化查询来避免SQL注入风险。

4. 权限最小化原则

按照权限最小化原则来分配用户角色的权限,只给用户必要的访问权限,避免因权限过大导致安全漏洞被恶意利用。

学习资源推荐

  1. 官方文档
  2. 书籍推荐
    • 《Web安全之深度学习实战》,从多个角度深入讲解Web安全相关知识,对理解和构建安全的用户认证与授权机制很有帮助。
    • 《Python安全编程》,聚焦Python应用中的安全问题与解决方案,包括在用户认证、授权等方面如何更好地保障安全。

下期预告

《Python后端学习系列(5):缓存机制与性能优化(使用Redis等)》

  • 缓存的基本概念与作用
  • Redis缓存的安装与配置
  • Python中使用Redis进行数据缓存的操作示例
  • 其他性能优化策略与实践

欢迎在评论区留下你的问题或学习心得,我们下期见!

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

DoYangTan
关注
Go Web后端开发实现用户认证授权
欢迎来到我的优快云空间!这里聚焦AI大模型应用实战,分享前沿技术、实战案例与开发经验。
04-25 689
在当今数字化时代,Web应用程序的安全性至关重要。用户认证授权是保障Web应用安全的核心环节。本文的目的在于深入探讨如何使用Go语言进行Web后端开发实现可靠的用户认证授权机制。范围涵盖了常见的认证授权方式,如基于会话的认证、基于令牌的认证(如JWT),以及基于角色访问控制等。本文将按照以下结构进行阐述:首先介绍核心概念联系,让读者对用户认证授权有清晰的认识;接着讲解核心算法原理和具体操作步骤,并用Python代码详细说明;然后给出数学模型和公式,结合实例加深理解;
Python 后端首选利器 FastAPI:全面解析
热门推荐
百锦再的博客
11-27 1万+
FastAPI 是一个用于构建 Web API 的 Python 框架,特别适合用来开发高性能的 RESTful API。它基于 Python 的类型提示(type hints)构建,利用了 Python 3.6 及更高版本的类型注解系统,同时还依赖于 Starlette 和 Pydantic 等高性能工具来实现高效的请求处理、数据验证和序列化。FastAPI 的核心特点是其高性能易用性自动化文档生成以及对现代 Python 编程实践的深度支持。
drf_07
bs_101的博客
07-03 143
''' 软件工程 SoftwareEngineering 软件工程 softwareEngineering 面向对象 object-oriented 面向对象 object-oriented 极限编程 Extreme-programming 极限编程 Extreme-programming 自上而下法 Top-down approach TOp-down approach 项目干系人 project stackholders project stackholder
Python用户认证组件
weixin_30555515的博客
07-09 190
Django 自带用户表:auth_user 创建用户实例: 1.1 、authenticate() 提供了用户认证,即验证用户名以及密码是否正确,一般需要username password两个关键字参数 如果认证信息有效,会返回一个 User 对象。authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是...
【无标题】用Python写一个用户登录认证程序
adaptation_T_C的博客
01-21 797
Python写一个用户登录认证的程序
快速实现用户认证使用Python和Flask配合PyJWT生成解密Token的教程及示例代码
陈钇钇的博客
02-17 2442
XUser类不仅定义了数据库表结构,还提供了方便的方法来操作和转换用户数据。通过使用 SQLAlchemy ORM,可以简化数据库操作,提高代码的可读性和可维护性。
python 用户认证_python--用户认证登录实现
weixin_31754209的博客
02-09 355
# _*_ coding: cp936 _*_ //支持中文格式import sysimport getpass#admin configurationusername=‘cheeron‘password=‘1234‘counter = 0#认证登录while True:if counter <3:name = raw_input(‘Please input your name:).s...
python--用户认证登录实现
weixin_30296405的博客
02-02 147
# _*_ coding: cp936 _*_ //支持中文格式 import sys import getpass #admin configuration username='cheeron' password='1234' counter = 0 #认证登录 while True: if counter <3: name = ra...
构建安全 Web 应用:从用户认证授权JWT 原理解析
最新发布
windowshht的博客
08-08 1346
本文深入探讨了Web应用安全中的用户认证授权机制,重点解析了JWT(JSON Web Token)的工作原理及实现方式。文章首先区分了认证(Authentication)授权(Authorization)的差异,随后对比了传统SessionJWT的特性,指出JWT在无状态、跨域支持和性能方面的优势。详细剖析了JWT的三部分结构(Header、Payload、Signature)及其验证流程。
Pythonpython后端开发工程师--python基础,框架,数据库,消息队列等
suzimuyu99的博客
12-22 1774
2024面试经验总结
pythonJWT用户认证实现
09-16
主要介绍了pythonJWT用户认证实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Python-PyJWTJSONWebToken的一个Python实现
08-11
PyJWT:JSON Web Token的一个Python实现
精选资源
基于Python的扫码点餐系统(用户端 商家端 后端API).zip
04-19
该压缩包文件“基于Python的扫码点餐系统(用户端 商家端 后端API).zip”包含了一个完整的扫码点餐系统的实现,主要利用Python编程语言进行开发。这个系统涵盖了用户端、商家端以及后端API接口,适用于多种场景,如...
Python进行HTTP认证:Basic Auth和Digest Auth
2401_86544677的博客
11-05 2133
根据具体情况,定制错误处理逻辑,如触发二次认证或通知管理员。通过这些方法,开发者可以有效处理认证失败情况,提高应用程序的弹性和用户体验。
python 登录验证
高飞的专栏
10-14 5807
python请求服务器数据,验证用户名和密码,除了常用的HTTPBasicAuthHandler,还有HTTPDigestAuthHandler,可以通过fiddler抓包,查看服务器返回数据中的验证字段,如果是Digest验证,返回的格式的应该是 HTTP/1.1 401 Unauthorized Connection: close WWW-Authenticate: Digest qop="
Python认证-权限
Lamb的博客
07-14 348
【代码】Python认证-权限
Python开发【程序】:登录认证程序
weixin_30853329的博客
03-08 164
1 # 作业题目: 编写登陆认证程序 2 # 作业需求: 3 # 基础需求: 4 # 让用户输入用户名密码 5 # 认证成功后显示欢迎信息 6 # 输错三次后退出程序 7 # 8 # 升级需求: 9 # 可以支持多个用户登录 (提示,通过列表存多个账户信息) 10 # 用户3次认证失败后,退出程序,再次启动程序尝试登录时,还是锁定状态(提示:需把用...
Python web实战之Django用户认证详解
Rocky006的博客
08-04 3064
Django 的用户认证系统提供了一套强大而灵活的工具,让我们能够轻松构建安全可靠的 Web 应用程序。使用 Django 框架我们可以轻松实现用户注册、登录、密码重置和用户权限管理等功能。
Python练习程序(一)用户认证后,联系人信息查询
人生就是一场修行
11-27 1233
练习:Python用户交互和流程控制。 功能实现用户认证后、查询联系人信息
Fief Server 0.12.10:基于Python认证授权服务器
综上所述,Fief Server 是一个面向现代 Web API 安全需求的身份管理平台,依托 Python 强大的生态系统,提供了一套完整、灵活且安全的认证授权解决方案。它不仅简化了开发者在构建安全系统时的技术选型实现成本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值