Flask-token-werkzeufg

最新推荐文章于 2025-03-17 18:25:06 发布
最新推荐文章于 2025-03-17 18:25:06 发布
阅读量424 收藏
点赞数
分类专栏: flask 文章标签: flask python token werkzeufg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ls_ange/article/details/83035477
版权
本文介绍了在Python Flask中使用JWT(Json Web Token)进行数据加密和身份验证的方法,包括密码的哈希加盐加密、JWT的构成、签发与验证流程,以及如何使用pyjwt库进行操作。同时,文章强调了JWT的安全注意事项,如保护secret私钥和避免在payload中存储敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Python-Flask-加密-token

  1. 数据加密-sha1

    	import hashlib
	
	pwd='a123456'
	temp=hashlib.sha1(pwd.encode())
	print(temp.hexdigest())

  2. hash加盐加密

    1. 导入加密函数

       from werkzeug.security import generate_password_hash,check_password_hash

    2. 密码生成函数:generate_password_hash

      	werkzeug.security.generate_password_hash(password, method='pbkdf2:sha1:2000', salt_length=8)

      参数说明:

       * password:明文密码
 * method:哈希加密的方法(需要hashlib库支持的),格式为pdpdf2:<method>[:iterations] 
 * method:哈希的方式,一般为SHA1
 * iterations:(可选参数)迭代次数,默认为1000
 * salt_length:盐值的长度,默认为8

      加密之后的字符串格式:

       method$salt$hash

    3. 密码验证函数:check_password_hash
      函数定义:

       werkzeug.security.check_password_hash(pwhash, password)

      参数定义:

      pwhash:generate_password_hash生成的哈希字符串
      password:需要验证的明文密码

      check_password_hash函数用于验证经过generate_password_hash哈希的密码 。若密码匹配,则返回真,否则返回假。

  3. token(jwt)

    现在很多框架都实现前后端分离,主要为了适应以下几个目的:

    1,前后端的分离,可以使前端开发和后端开发更加分工明确,而不是后端还需要在视图模板中加入很多{% XXXX %}标签

    2,是为了适应跨域调用或者多客户端调用,如你的手机应用调用某个接口,大都是调用第三方api等

    所以在整合JWT,让框架具有更多的适应性。JWT 说简单就是基于token的权限验证;flask 有提供json的支持,可是对象转化是一个大问题;

  4. 什么是token

    Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

    流程是这样的

    1. 用户使用用户名密码请求服务器

    2. 服务器进行验证用户信息

    3. 服务器通过验证发送给用户一个token

    4. 客户端存储token,并在每次请求时附加这个token值

    5. 服务器验证token,并返回数据

      这个token必须要在每次请求时发送给服务器,它应该保存在请求头中,另外,服务器要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了 Access-Control-Allow-Origin:*

  5. JWT构成

    JWT是由三部分构成,将这三段信息文本用链接构成了JWT字符串。就像这样

     eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U

    第一部分我们称它为头部(header)第二部分我们称其为载荷(payload,类似于飞机上承载的物品),第三部分是签证(signature)

    1. header

      JWT的头部承载的两部分信息:

      声明类型,这里是jwt
      声明加密的算法,通常直接使用HMAC SHA256

      完整的头部就像下面这样的JSON

       {
  'typ':'JWT',
  'alg':'HS256'  
 }

      然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分

       eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

    2. plyload

      载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

      标准中注册的声明
      公共的声明
      私有的声明

      标注中注册的声明(建议不强制使用)

       iss:jwt签发者
 sub:jwt所面向的用户
 aud:接收jwt的一方
 exp:jwt的过期时间,这个过期时间必须大于签发时间
 nbf:定义在什么时间之前,该jwt都是不可用的
 iat:jwt的签发时间
 jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

      公共的声明:
      公共的声明可以添加任何的信息,一般添加用户的相关信息或其它业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密;

      私有的声明
      私有的声明是提供者和消费者功能定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为名文信息。

      定义一个payload

      {
	 "sub": "1234567890",
	"name": "John Doe",
	"admin": true
}

      然后将其base64加密,得到jwt的一部分
      eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

      Signature
      jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

      • header(base64后的)
      • payload(base64后的)
      • secred :这个部分需要base64加密后的header和base64加密后的payload使用“.”连接组成的字符串,然后通过header中声明的加密方式进行加secret组合加密,然后就构成了jwt的第三部分
      var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
		var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

      将这三部分用“.”连接成一个完整的字符串,构成了最终的jwt:

       eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

      注意:secret是保存在服务器端的,jwt的签发也是在服务端的,secret就是用来进行jwt的签发和jwt的验证,所以它就是你服务端的私钥,在任何场景都不应该流露出去,一旦客户端得知这个secret,那就意味着客户端可以自我签发jwt了

    3. 总结

      优点:

      因为json的通用性,所以JWT是可以跨语言支持的,像C#,JavaScript,NodeJS,PHP等许多语言都可以使用
      因为由了payload部分,所以JWT可以在自身存储一些其它业务逻辑所必要的非敏感信息
      便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的
      它不需要在服务端保存会话信息,所以它易于应用的扩展

      安全相关:

      不应该在jwt的payload部分存储敏感信息,因为该部分是客户端可解密的部分
      保护好secret私钥。该私钥非常重要
      如果可以,请使用https协议

pyjwt

  1. 安装

     pip install pyjwt -i https://pypi.tuna.tsinghua.edu.cn/simple

  2. 生成token

     import jwt
 import datetime
 import hashlib
 
 #当前时间加上180秒,意味着token过期时间为3分钟以后
 datetimeInt = datetime.datetime.utcnow() + datetime.timedelta(seconds=180)
 SECRECT_KEY = 'secret'
 option = {
 		  'iss':'jobapp.com', #token的签发者
         'exp':datetimeInt, #过期时间
         'aud': 'webkit',   #token的接收者,这里指定为浏览器
         'user_id': '001'   #放入用户信息,唯一标识,解析后可以使用该消息
     }
 # encoded2 = jwt.encode(payload=option,key= SECRECT_KEY, algorithm='HS256')
 #这时token类型为字节类型,如果传个前端要进行token.decode()
 token = jwt.encode(option,SECRECT_KEY, 'HS256')
 print(token)

  3. 解析token

     decoded = jwt.decode(token, SECRECT_KEY,audience='webkit', algorithms=['HS256'])

 print(decoded)

  4. 代码封装

     	# 生成jwt 信息
 	def  jwtEncoding(some,aud='webkit'):
 	    datetimeInt = datetime.datetime.utcnow() + datetime.timedelta(seconds=180)
 	    print(datetimeInt)
 	    option = {
 	        'exp':datetimeInt,
 	        'aud': aud,
 	        'some': some
 	    }
 	    encoded2 = jwt.encode(option, SECRECT_KEY, algorithm='HS256')
 	    return encoded2
 	    
 	# 解析jwt 信息
 	def  jwtDecoding(token,aud='webkit'):
 	    decoded = None
 	    try:
 	        decoded = jwt.decode(token, SECRECT_KEY, audience=aud, algorithms=['HS256'])
 	    except jwt.ExpiredSignatureError :
 	        print("erroing.................")
 	        decoded = {"error_msg":"is timeout !!","some":None}
 	    except Exception:
 	        decoded ={"error_msg":"noknow exception!!","some":None}
 	        print("erroing2.................")
 	    return decoded

  5. 代码中可以把解析token放在方法装饰器中

     from functools import wraps
 import jwt
 import datetime
 from flask import Blueprint,request
 datetimeInt = datetime.datetime.utcnow() + datetime.timedelta(seconds=180)
 SECRECT_KEY = 'secret'
 def checkToken(*token):
     def decorated(func):
         @wraps(func)
         def wrapper():
             print("[DEBUG]: enter {}()".format(func.__name__))
             try:
                 token=request.headers['token']
                 print('token 是:')
                 print(token)
                 decoded = jwt.decode(token, SECRECT_KEY, audience='webkit', algorithms=['HS256'])
                 return func()
             except jwt.ExpiredSignatureError as err:
                 print("erroing.................",err)
                 decoded = {"error_msg": "is timeout !!", "some": None}
                 return '{"code":"004"}'+request.url #此处需要改进哦
             except Exception:
                 decoded = {"error_msg": "noknow exception!!", "some": None}
                 print("erroing2.................")
                 return '{"code":"004"}'+request.url
 
         return wrapper
 
     return decorated
 
 
 def jwtEncoding(some, aud='webkit'):
     datetimeInt = datetime.datetime.utcnow() + datetime.timedelta(seconds=180)
     print(datetimeInt)
     option = {
         'iss': 'jobapp.com',
         'exp': datetimeInt,
         'aud': 'webkit',
         'some':some
     }
     encoded2 = jwt.encode(option, SECRECT_KEY, algorithm='HS256')
     print(encoded2.decode())
     return encoded2.decode()
 
 if __name__ == '__main__':
     res=jwtEncoding('{"userid","889"}')
 
     print(res)

    在路由方法中调用

     @resume_app.route('/add')  #/user/add
 @checkToken()  #此处需要用户权限调用
 def add():
     return '添加简历'
flask 实现token机制
CITYDATA
09-14 589
token 的生成 用token校验身份,是前后端交互的常用方式。 它有以下特性: 会失效 加密 可以根据它拿到用户的信息 生成方式( 内部配置的私钥+有效期+用户的id ) #导入依赖包 from flask import request,jsonify,current_app from itsdangerous import TimedJSONWebSignatureSerializer as Serializer def create_token(api_user): '''
Flask】使用 Token 作为身份验证和会话管理
m0_56699208的博客
01-21 2119
加密 token 的秘钥(通常称为 “JWT Secret Key”)是自己定义的一个字符串。这个秘钥用于加密和解密 JSON Web Tokens(JWT),因此保持其安全性非常重要。这样,可以在不同的部署环境中使用不同的秘钥,而无需更改代码。为了添加 token,首先,需要一个方式来生成和验证 JWT(JSON Web Tokens)。最常用的方法是使用其扩展,如 Flask-JWTFlask-Security。对于需要认证的路由,使用 @jwt_required() 装饰器。
Flask 实现Token认证机制
优快云
11-27 6310
Flask框架中,实现Token认证机制并不是一件复杂的事情。除了使用官方提供的`flask_httpauth`模块或者第三方模块`flask-jwt`,我们还可以考虑自己实现一个简易版的Token认证工具。自定义Token认证机制的本质是生成一个令牌(Token),并在用户每次请求时验证这个令牌的有效性。
Flask中基于Secret Key生成Token的方式
最新发布
鸟人的博客
03-17 376
JWT(JSON Web Token)是更标准化的 Token 方案,适用于 REST API。如果只是生成一个唯一的 Token(比如 API Key),可以使用。是 Flask 内部使用的一个安全 Token 生成和验证工具。你可以根据需求选择合适的方案。在 Flask 中,可以使用。,适用于 Flask 内部认证。,适合存储用户 ID 等信息。生成随机 Token。)库来生成和验证基于。(默认为 1 小时)
Flask后端 Token的使用
aaaaaaaaaww12的博客
10-28 2250
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 一、Token是什么? 在计算机身份认证中是令牌(临时),在我的认知里面,token类似于打开后端的钥匙,在你登录之后,后端给你一串钥匙,你可以根据这串钥匙访问后端一些上锁的地方,如果没上锁,就是公共访问区域,没有token也能访问,有些地方上锁了你没钥匙,就是你的token里没有给你相对应的权限钥匙。 二、使用步
flask中生成token
weixin_58959719的博客
06-13 822
flaks中生成token
flask刷新token
aimiandai4698的博客
01-24 908
我们在做前后端分离的项目中,最常用的都是使用token认证。 登录后将用户信息,过期时间以及私钥一起加密生成token,但是比较头疼的就是token过期刷新的问题,因为用户在登录后,如果在使用过程中,突然提示token过期了,需要重新登录,会觉得很奇怪。 我使用的方式,是在解析token的时候,如果token过期了,但是还在可刷新的时间范围内,我们应该自动刷新token,并将新的to...
flask-security-admin-example:结合Flask-Security和Flask-Admin的示例
05-01
结合Flask-Security和Flask-Admin的示例史蒂夫·萨波特(Steve Saporta) 2014年4月15日 Flask-Security提供了一种向Flask Web应用程序添加身份验证和授权的便捷方法。 Flask-Admin提供了一种对数据库表执行CRUD操作...
flask-3.0.2-py3-none-any.whl
03-07
在压缩包子文件的文件名称列表中,我们看到有两个文件:flask-3.0.2-py3-none-any.whl.txt和flask-3.0.2-py3-none-any.whl。前者可能是关于这个wheel包的一些说明文档或者日志,后者则是实际的可安装包文件。通常,....
flask-3.0.1-py3-none-any.whl.zip
05-22
标题中的"flask-3.0.1-py3-none-any.whl.zip"指的是一个Flask库的特定版本,3.0.1,为Python 3编译且适用于任何架构的.whl格式的文件。.whl是Python的二进制分发格式,类似于Java的JAR文件,用于简化安装过程,特别...
flask-restx:Flask-RESTPlus的Fork:功能齐全的框架,用于通过Flask快速,轻松地进行文档化的API开发
01-30
Flask-RESTX是Flask-RESTPlus的一个分支,它是一个强大的、全面的框架,专为使用Flask构建文档化API而设计。这个框架旨在使API开发过程更加简单、高效,同时提供丰富的特性来增强你的应用程序。Flask本身是一个轻量...
flask-dashboard-adminlte:AdminLTE Flask-开源种子项目| 应用种子
02-05
Flask Framework中的AppSeed生成的。 最好的开源管理仪表板和控制面板主题之一。 AdminLTE建立在Bootstrap之上,提供了一系列响应Swift,可重复使用且常用的组件。 产品特点 DBMS:SQLite,PostgreSQL(生产) ...
Flask认证:token
天然玩家的博客
10-06 524
1 认证方法 token认证 密码认证 2 Usage 2.1 Authentaion.py from werkzeug.security import generate_password_hash, check_password_hash from itsdangerous import TimedJSONWebSignatureSerializer as Serializer from ...
Flask中基于Token的身份认证
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
02-18 2737
Flask提供了多种身份认证方式,其中基于Token的身份认证是其中一种常用方式。基于Token的身份认证通常是在用户登录之后,为用户生成一个Token,然后在每次请求时用户将该Token作为请求头部中的一个参数进行传递,服务器端在接收到请求后验证该Token是否有效。
flasktoken认证
热门推荐
ousuixin的博客
06-28 1万+
flasktoken认证 使用token的理由 为符合restful api风格,我们的服务器应该是无状态的,即不应该在服务端维持每个用户状态,不需要为每个登录用户维护一个会话,从而改进服务器的性能 这种无状态的前后端通信可以通过token实现,具体讲就是 后端验证密码成功,用户成功登录之后,将用户的身份信息加密成有一定时效性的token返回前端 前端后续每次请求都将token插入请求head...
flask 利用token 进行登录效验
zhouqi1208的博客
03-24 1685
网站、小程序、APP 是否已经登录所代表的状态,代表一个概念是登录态。我们常用的登录态验证方式主要是如下3种 cookie,session,tokencookie和session 采用的是缓存机制,是需要在浏览器端或服务器端,储存用户登录状态。两者的特点,cookie 采用的浏览器缓存 相对于 session 采用的服务器缓存机制安全较差,但后者很怕用户过多给服务器代理过大的压力。token 提供了另外一种不需要缓存账户和密码的登录状态验证方式。
flask token认证
aimiandai4698的博客
01-11 509
在前后端分离的项目中,我们现在多半会使用token认证机制实现登录权限验证。 token通常会给一个过期时间,这样即使token泄露了,危害期也只是在有效时间内,超过这个有效时间,token过期了,就需要重新生成一个新的token。 如何生成token呢? 1、创建用户数据库,本文会使用flask-SQLAlchemy(ORM)去管理数据库:   首先创建一个用户模型:包括了用户...
Flask定义token以及利用token验证登录
飘落の楓葉
12-25 9409
导入的包 from flask import Flask, jsonify, current_app, request from flask_pymongo import PyMongo from itsdangerous import TimedJSONWebSignatureSerializer as Serializer from flask_sqlalchemy import SQLAl...
Flask-0.7压缩包资源下载
资源摘要信息: "Flask-0.7.tar.gz" 是一个包含了Flask 0.7版本源代码的压缩包文件。Flask是一个用Python编写的轻量级Web应用框架,它被设计为易于使用、扩展性强,并且拥有强大的开发社区支持。该版本于2012年发布,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值