Flask学习-4-server对象(token)

最新推荐文章于 2025-03-12 00:15:00 发布
最新推荐文章于 2025-03-12 00:15:00 发布
阅读量258 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Flask 文章标签: Flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38328762/article/details/99168145
这篇博客探讨了Flask中使用JWT进行身份验证的方法,包括JWT的基础知识、流程和字符串组成。文章介绍了如何安装相关库,并展示了如何在service模块中封装token的生成和验证,特别是在login和show操作中如何运用。

  1. 数据加密-sha1

     import hashlib
 pwd='a123456'
 temp=hashlib.sha1(pwd.encode())
 print(temp.hexdigest())

  2. hash加盐加密

    from werkzeug.security import generate_password_hash,check_password_hash

def password_hash(str):
    method = 'pbkdf2:sha1:2000'
    salt_length = 8
    str_encode = generate_password_hash(str, method=method, salt_length=salt_length)
    return str_encode

def check_password(old_str_hash, new_str):
    res = check_password_hash(old_str_hash, new_str)
    return res

if __name__ == '__main__':
    encodestr = password_hash('123')
    print(encodestr)
    print(check_password(encodestr, '123'))

  3. JWT基础

    JWT(Json web token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519)
    流程:

    1. 用户使用用户名、密码请求服务器
2. 服务器验证用户信息
3. 服务器通过验证发送给用户一个token
4. 客户端存储token,并在每次请求时附加这个token值
5. 服务器验证token,并返回数据,这个token必须要在每次请求时发送给服务器,它应该保存在请求头中,另外,服务器要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了 Access-Control-Allow-Origin:*

    JWT字符串组成:头部(headers) . 载荷(payload) . 签证(signature) 【头部保存声明信息,base64加密;载荷保存有效信息option,base64加密;签证由加密后的headers、加密后的payload、secret组成,然后加密】

  4. 安装

    pip install pyjwt -i https://pypi.tuna.tsinghua.edu.cn/simple

  5. 封装token的生成和验证

    service / utils / token_tool.py

    import jwt
from datetime import datetime,timedelta

# 私钥
SECRET_KEY = '2019-8-9'
# 过期时间
EXPIRE = 180

def make_token(id):
    datetimeInt = datetime.utcnow() + timedelta(seconds=EXPIRE)
    # 载荷
    option = {
        "iss": "test.com",  # token签发者
        "exp": datetimeInt,  # 过期时间
        "iat": datetime.utcnow(),
        "aud": "webkit",
        "id": id
    }
    token = jwt.encode(option, SECRET_KEY, 'HS256')
    return token

def check_token(token):
    id = None
    try:
        decoded = jwt.decode(token, SECRET_KEY, audience='webkit', algorithms=['HS256'])
        id = decoded.get('id')
    except jwt.ExpiredSignatureError as ese:
        print(ese)
    except Exception as ex:
        print(ex)
    finally:
        return id

  6. 利用token_tool.py对用户进行验证

    service/user_service.py : login时调用make_token进行token的生成;show时利用装饰器调用check_token进行token的验证

    @user.route('/login/', methods = ['GET', "POST"])
def login():
    if request.method == 'GET':
        return 'get...login...'
    else:
        user = request.get_json()
        if user.get('telephone') == '15712345678':
            if user.get('password') == '123456':
                token = make_token(user.get('telephone'))
                return status_code["login_success"],200,{"token":token}
            else:
                return status_code["password_error"]
        else:
            return status_code["user_none"]



@user.route('/show/')
@check_login
def show():
    uid = request.args.get('id')
    return '欢迎{}用户登录成功'.format(uid)

    service/decorate/check_user.py :成功则返回,失败则跳转

    from functools import wraps
from flask import request,redirect
from app.service.utils.token_tool import check_token

def check_login(func):
    @wraps(func)
    def wrapper():
        print('check..is..ok...')
        token = request.headers.get('token')
        id = check_token(token)
        # print(id)
        if id:
            return func()
        else:
            return redirect('/user/login/')
    return wrapper
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
LLM - 使用 vLLM 部署 Qwen2-VL 多模态大模型 (配置 FlashAttention) 教程
AGI
09-26 6293
vLLM 用于 大语言模型(LLM) 的推理和服务,具有多项优化技术,包括先进的服务吞吐量、高效的内存管理、连续批处理请求、优化 CUDA 内核以及支持量化技术,如GPTQ、AWQ等。FlashAttention 是先进的注意力机制优化工具,通过减少内存访问和优化计算过程,显著提高大型语言模型的推理速度。
安全优化-隐藏版本号server_tokens
Wcybaonier
03-02 601
如果nginx代理是多层代理,每一层都要加上上面的参数!.conf、虚拟主机的配置文件中配置,选一个配置即可。安全优化-隐藏版本号server_tokens。不然依然会显示下层nginx的版本号!在主配置文件nginx.conf加入。
ServerTokens
doodlesomething
08-27 976
这是在暑假期间看《鸟哥的四方
Nginx server_tokens
热门推荐
04-07 4万+
Nginx server_tokens server_tokens off; 是否在响应报文的Server首部显示nginx版本 (默认是启用的) ____________________________________________________________________________________________________________________________________________.
微信token server服务
三少GG
10-15 2576
解决方案: 微信鉴权等作为单独的server,对外提供服务. 用grpc通信 golang库: https://github.com/chanxuehong/wechat.v2/blob/master/mp/core/access_token_server.go   重写AccessTokenServer 方案:https://cnodejs.org/topic/57b330b667
nginx隐藏版本号server_tokens
weixin_34413065的博客
10-14 1万+
安全优化-隐藏版本号server_tokensSyntax: server_tokens on | off | build | string;Default: server_tokens on;Context: http, server, location在主配置文件nginx.conf、虚拟主机的配置文件中配置,选一个配置即可官方文档地址:http://nginx.o...
GLM-4V-图片识别多模态大模型(MLLs)初探
12-09 2284
GLM-4是清华智谱AI的第4代产品,重点强调的是ALL Tools工具调用能力,并于2024年6月5日开源了GLM-4-9B版本,包括GLM-4-9B、GLM-4-9B-Chat、GLM-4-9B-Chat-1M以及对应支持1120x1120像素的多模态模型GLM-4V-9B。今天重点对GLM-4V-9B进行介绍,并给出基于FastAPI私有化部署方式。2.2 GLM-4V 原理。
【开源代码解读】AI检索系统R1-Searcher通过强化学习RL激励大模型LLM的搜索能力
最新发布
AI人工智能的学习之路
03-12 1952
两阶段强化学习(RL)为了通过探索外部检索环境来激励大语言模型的搜索能力,设计了一种基于结果的两阶段强化学习方法,通过定制的奖励设计,使模型能够在推理过程中自由探索如何调用外部检索系统以获取相关知识。具体来说,在第一阶段,我们采用检索奖励来激励模型进行检索操作,而不考虑最终答案的准确性。这样,大语言模型可以快速学习正确的检索调用格式。在第二阶段,我们进一步引入答案奖励,以鼓励模型学习有效地利用外部检索系统正确解决问题。
开源模型应用落地-qwen模型小试-调用Qwen2-VL-7B-Instruct-更清晰地看世界-集成vLLM(三)
以微薄之力,予他人些许温暖.
09-18 2万+
掌握Qwen2-VL与vLLM集成,提升职业发展增添强大的竞争力
服务器令牌文件,token_server
weixin_42360783的博客
08-03 432
#简介这个项目,采用OpenResty,实现了一个令牌服务器,主要包括令牌申请、令牌延期、令牌效验、令牌删除、令牌个数查询多个接口,以HTTP+JSON提供调用#包括几个部分lua_scripts 用于部署到OpenResty的Lua业务脚本,实现了上面提到的接口,每一个文件包含请求报文和应答报文的示例lualib 用于部署到OpenResty的Lua库脚本nginx/conf/ng...
arcgis server地图服务访问权限设置及arcgis server token获取。
体验新模板
11-03 1万+
arcgis server token获取。 一、地图服务访问权限设置。 当我们发布arcgis地图服务后,由于涉密或者其他原因,不想让所有人看到地图服务。这时候我们可以对地图设置权限。怎末设置那? 进入你们arcgis管理。地址: http://localhost:6080/arcgis/manager/index.html# 新建角色。 新建用户。 新建成功。 角色与用户之间关系:角色是指一组按功能、标题或某些其他属性关联在一起的用户。 回到服务 点击某一个服务,“锁”。 在可见角色里面搜索刚
nginx基本安全优化
weixin_44800629的博客
10-27 6085
提升网站安全,要从最简单、最短板、最低点的地方入手解决问题,如果门打开着,即使给窗户安装再结实的护栏也没有意义。·向有经验的人及优秀的网站公司学习。·学会看官方文档,根据第一手资料去分析。·命令输出结果中含有需要过滤或要保留的内容时,命令自身可能有参数可直接实现。
Token与Cookie、Session登录机制
huan1213858的博客
08-02 1176
session 和 token 本质上是没有区别的,都是对用户身份的认证机制,只是他们实现的校验机制不一样而已(一个保存在 server,通过在 redis 等中间件获取来校验,一个保存在 client,通过签名校验的方式来校验),多数场景上使用 session 会更合理,但如果在单点登录,一次性命令认证上使用 token 会更合适,最好在不同的业务场景中合理选型,才能达到事半功倍的效果。详细跳转。
禁止显示或发送Apache版本号(设置ServerTokens)
wing 的专栏
02-21 1万+
默认地,服务器HTTP响应头会包含apache和php版本号。像下面的,这是有危害的,因为这会让黑客通过知道详细的版本号而发起已知该版本的漏洞攻击。 1.Server: Apache/2.2.17 (Unix) PHP/5.3.5 为了阻止这个,需要在httpd.conf设置ServerTokens为Prod,这会在响应头中显示“Server:Apache”而不包含任何的版本信息。
资源服务器验证Token的几种方式
bobozai86的博客
05-25 8672
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token的流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
Nginx 隐藏服务器名称和版本号
Leopard_89的专栏
03-02 1万+
初学nginx,遇到了server_tokens命令,该命令的作用是显示或隐藏掉版本号。 例如server_tokens off; 隐藏版本号。浏览器访问时抓包,查看HTTP响应的Server头没有版本号。 既然版本号可以隐藏,那可不可以隐藏或修改nginx服务器的名称呢?答案是可以,修改或隐藏服务器名称需要修改源码nginx.h,nginx.h在src/core/目录下 。具体操作如
nginx 添加 Content-Security-Policy 写法
07-07
在 Nginx 中添加 `Content-Security-Policy` (CSP) 是为了增强网站的安全性,通过限制客户端能访问的内容来源。CSP 允许开发者声明哪些资源(如脚本、样式表、...- `object-src`: 控制嵌入式对象(如Flash)的加载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值