本文主要是介绍14.2 基于令牌的认证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
上节我们介绍了基于http的认证, 由于客户端每次发出请求时都要发送密令, 为了避免老是发送敏感信息, 我们可以提供一种基于令牌的认证方案。
一. 修改app/models.py
class User(db.Model):#生成认证令牌def generate_auth_token(self, expiration):s = Serializer(current_app.config['SECRET_KEY'], expires_in=expiration)return s.dumps({'id': self.id})#验证认证令牌, 如果令牌可用就返回对应的用户@staticmethoddef verify_auth_token(self, token):s = Serializer(current_app.config['SECRET_KEY'])try:data = s.loads()except:return Nonereturn User.query.get(data['id'])二. 修改app/api_1_0/authentication.py
@auth.verify_passworddef verify_password(email_or_token, password):#如果填的是token字符串if password = '':g.current_user = User.verify_auth_token(email_or_token)g.token_userd = Truereturn g.current_user is not None#如果填的是email和密码user = User.query.filter_by(email=email_or_token).first()if not user:return Falseg.current_user = userg.token_used = Falsereturn user.verify_password(password)代码分析:
用户访问api蓝本注册的路由时, 首先会访问@api.before_request修饰器修饰的before_request函数, 而before_request函数被修饰器@auth.login_required修饰, 所以会触发auth.verify_password认证, 就会弹出类似下面的对话框要求用户填写认证信息:
如果我们填写的是token字符串, 那么密码栏为空, verify_password函数验证token, 并返回结果;
如果我们填写的是email和password, 那么verify_password函数验证email和密码, 并返回结果;
这里我们用g.token_used变量来让视图函数区分这两种认证方法。
因此认证函数的作用就是, 认证所有访问 api蓝本注册的路由 的用户, 如果认证通过g.current_user存储认证通过的用户, 并访问路由, 认证失败则无法访问路由。
三. 修改app/api_1_0/authentication.py
@api.route('/token')def get_token():if g.token_used:return unauthorized('Invalid credentials')return jsonify({'token': g.current_user.generate_auth_token(expiration=3600), 'expiration': 3600}
代码分析:
如果用户访问该路由获取token, 认证通过时, g.current_user会存储认证通过的用户, 然后访问该路由, 返回由该用户id生成的token字符串, g.token_used的if判断是为了防止使用旧token生成新token。
四。 效果演示
1)访问生成token的路由
2)填写用户名密码进行认证
3)认证成功,视图函数返回生成的token字符串
4)下次访问api注册的路由时就可以填写token字符串
5)如果我们试图用旧token生成新token
6)返回错误
这篇关于14.2 基于令牌的认证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
