python flask 令牌token原理及代码实现

高冷的王哈哈

已于 2024-12-30 13:00:05 修改

阅读量1.7k

点赞数

CC 4.0 BY-SA版权

分类专栏： python 文章标签： python flask 服务器 web安全

于 2023-02-03 16:54:04 首次发布

本文链接：https://blog.youkuaiyun.com/w1054230914/article/details/128871553

python 专栏收录该内容

13 篇文章

订阅专栏

本文探讨了HTTP请求无状态的问题以及如何通过令牌Token技术解决。解释了Token的工作原理，包括用户登录后服务器生成加密的用户ID作为令牌。文章还提出了两种解决策略以支持单点登录，并列举了Python中实现Token的三种方法：PyJWT、低版本itsdangerous库和Authlib。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

令牌认证 token

觉得废话多，可以直接看代码
代码参考：http://t.csdn.cn/Sf8km

令牌token解决了什么问题

解决http请求无状态的特性，让每次请求都有状态，知道请求是哪个用户发来的

首先要知道，http请求是无状态的
也就是说，即使是同一个人发送的两次请求，服务器也是不知道是同一个人过来访问的。
所以想让服务器知道请求的用户是谁，就需要用到token令牌技术了

等于是强行在http请求里面加了一个状态

理解

古代令牌是起什么作用的呢
1.制作令牌的技术，只有皇帝才会制作，其他人无法假冒
2.令牌代表某个人，见令牌如见人

其实接口的令牌技术，跟古代令牌的概念是一样的
1.令牌token只有web服务器可以制作，其他人无法假冒
2.令牌中存储用户的信息，服务器解密token后就知道这个令牌是哪个用户的令牌

原理

1.每次登录成功后，服务器把当前的用户id加密，就生成一个令牌，返回给客户
2.客户每次带着令牌去访问，服务器检验令牌，就能拿出里面的用户id，就知道是哪个用户访问的了

需要注意的是，生成令牌的操作，是只能服务器生成并解密的，如果其他人知道你的令牌生成和解密，就可以伪造token了

问题

思考一下现在的策略，是否可以满足单点登录功能

即使同时有三个不同的人，先后登录，拿到令牌，然后去访问，服务器也是不知道的
因为令牌里面存储的信息，只有用户的id，服务器也是根据用户id去判断令牌是否有效
而且用户id，是不能改变的，一个用户id，可能关联了其他的数据

解决办法1

1.数据库新加字段，登录时间戳
2.用户每次登录，都更新一下登录时间戳
3.在加密的token里面，再加一个登录时间戳字段，记录用户当前记录的登录时间戳
4.用户发来请求，检查令牌里面的登录时间戳是否和数据库一致，如果不一致，说明有其他人登录过，返回令牌失效

解决办法2

1.数据库新加字段，token
2.用户每次登录，都生成一个uuid，记录在用户数据库的token字段（uuid不会重复）
3.在加密的token令牌里面，把用户id替换成数据库的token字段
4.用户发来请求，检查令牌里面的token字段，去数据库查找，就找到了用户，如果没有找到，说明token已经被更新了，返回令牌失效

代码

python中，有三种生成令牌的方式

1.pyjwt

import jwt  
  
# 生成令牌的秘钥  
secret_key = "aixlti5oa#xh8untx"  
  
# 生成令牌  
def create_token(data, key):  
    return jwt.encode(data, key, algorithm="HS256")  
  
  
# 解密令牌  
def open_token(token, key):  
    try:  
        return jwt.decode(token, key, algorithms=["HS256"])  
    except:  
        return None  
  
  
# 模拟用户登录，把用户id信息制作令牌，并返回给app  
user_info = {"user_id": 123}  
user_token = create_token(user_info, secret_key)  
print(user_token)  
  
# 用户请求，检查令牌里是否有用户id，如果没有，说明令牌是伪造的  
result = open_token(user_token, secret_key)  
print(result)

2.使用低版本的itsdangerous库

from itsdangerous import TimedSerializer as Serializer
from itsdangerous import BadSignature, SignatureExpired


def generate_token(user, operation, **kwargs):
    """生成用于邮箱验证的JWT（json web token）"""
    s = Serializer(current_app.config['SECRET_KEY'], expire_in)

    # 待签名的数据负载
    data = {'id': user.id, 'operation': operation}
    data.update(**kwargs)
    return s.dumps(data)

def validate_token(user, token, operation):
    """用于验证用户注册的token, 并完成相应的确认操作"""
    s = Serializer(current_app.config['SECRET_KEY'])

    try:
        data = s.loads(token)
    except (SignatureExpired, BadSignature):
        return False
    ... # 相关字段确认
    return True
————————————————
版权声明：本文为优快云博主「空巢青年_rui」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/weixin_43863487/article/details/123784400

3.authlib

from authlib.jose import jwt, JoseError

def generate_token(user, operation, **kwargs):
    """生成用于邮箱验证的JWT（json web token）"""
    # 签名算法
    header = {'alg': 'HS256'}
    # 用于签名的密钥
    key = current_app.config['SECRET_KEY']
    # 待签名的数据负载
    data = {'id': user.id, 'operation': operation}
    data.update(**kwargs)

    return jwt.encode(header=header, payload=data, key=key)


def validate_token(user, token, operation):
    """用于验证用户注册和用户修改密码或邮箱的token, 并完成相应的确认操作"""
    key = current_app.config['SECRET_KEY']

    try:
        data = jwt.decode(token, key)
        print(data)
    except JoseError:
        return False
    ... # 其他字段确认
    return True