2. 程式人生 > >Python API簡單驗證

Python API簡單驗證

阿新 發佈:2018-08-06
method timestamp pda 需求 -a none 數據 Coding params

前言

因為CMDB內部的需求,需要一個API進行數據傳輸,用來傳遞需要抓取的服務端信息信息給抓取的autoclient,autoclient抓取好之後再通過API傳輸到服務器,保存到數據庫。但是為了防止惡意的API訪問,需要做一個驗證。

設想一

可以在客戶端跟服務端都規定好一串隨機字符串做驗證,只有當帶著這串驗證的請求發送過來的時候,才讓其進行訪問。

技術分享圖片

如果學過了爬蟲,大家很容易就發現,這串隨機字符串在瀏覽器裏面是可以監聽的,多觀察幾次總是會發現的。而且無論通過如何的方式,只要暴露在外面,都是會被察覺的。此時,就需要對其進行加密。

設想二

既然隨機字符串在web傳輸中是明文狀態,那我們試著將其轉換成密文的,轉換下思路,如果每次的請求都是隨機字符串配合一串一直變動的值進行md5加密,此時,產生的驗證字符串也應該變成動態密文。用什麽做動態字符串來配合約定好的字符串進行md5加密呢?既然是動態的,時間戳,是最好的選擇。

技術分享圖片

此時一切看著都很完美,但是,忽略了一點,無論是不是加密的字符串,http請求的時候都是可以監聽到的,所以即使加密,即使不知道怎麽加密的,依舊可以直接拿著這串字符串直接進行驗證訪問。尷尬。。。

設想三

其實上面的設想二已經做到了動態,思路上只要改一點就立刻變成可行的了。在http請求的時候,即使是在相當糟糕的網絡環境裏,也不會需要發送非常長的時間,因此,卡住時間便可以實現。

在拿到client的時間戳是,服務器段只需要跟當前時間戳進行比對,如果時間間隔小於10秒就當作正常訪問。就可以了。

技術分享圖片上面的設計思路完美的解決了動態的問題,此時不免還有疑問,如果真的會在10s內盜取到字符串直接訪問呢?

完善思路

基於上面的問題,可以再多加異步驗證,寫一個列表,訪問過的字符串都放在列表裏,後面的訪問都跟此列表比對下,如果在此列表內,就拒絕訪問。

技術分享圖片

如上的設計思路就可以解決問題。

優化

最後的設計思路肯定能解決問題,但是也存在一個問題,就是,隨著時間進度的推移,訪問列表一定會越來越大,始終是不友好的一點。肯定需要給字符串設計一個超時時間。

visited_list = [28g12b12128912e2kj|127381237812391, 829312g12be120e102ej12je91|12312984123123,....]

如果以上述的方式取跟系統時間比較當然是一件很費事的工作,占用很多的IO,可以使用redis來輕松實現這個功能。

技術分享圖片

CBV通過此類裝飾方式實現驗證

驗證代碼

技術分享圖片 
def api_auth_method(request):
    auth_key = request.META.get(HTTP_AUTH_KEY)
    if not auth_key:
        return False
    sp = auth_key.split(|)
    if len(sp) != 2:
        return False
    encrypt, timestamp = sp
    timestamp = float(timestamp)
    limit_timestamp = time.time() - ASSET_AUTH_TIME
    print(limit_timestamp, timestamp)
    if limit_timestamp > timestamp:
        return False
    ha = hashlib.md5(ASSET_AUTH_KEY.encode(utf-8))
    ha.update(bytes("%s|%f" % (ASSET_AUTH_KEY, timestamp), encoding=utf-8))
    result = ha.hexdigest()
    print(result, encrypt)
    if encrypt != result:
        return False

    exist = False
    del_keys = []
    for k, v in enumerate(ENCRYPT_LIST):
        print(k, v)
        m = v[time]
        n = v[encrypt]
        if m < limit_timestamp:
            del_keys.append(k)
            continue
        if n == encrypt:
            exist = True
    for k in del_keys:
        del ENCRYPT_LIST[k]

    if exist:
        return False
    ENCRYPT_LIST.append({encrypt: encrypt, time: timestamp})
    return True


def api_auth(func):
    def inner(request, *args, **kwargs):
        if not api_auth_method(request):
            return JsonResponse({code: 1001, message: API授權失敗}, json_dumps_params={ensure_ascii: False})
        return func(request, *args, **kwargs)

    return inner
auth

Python API簡單驗證

相關推薦

Python API簡單驗證

method timestamp pda 需求 -a none 數據 Coding params 前言 因為CMDB內部的需求,需要一個API進行數據傳輸,用來傳遞需要抓取的服務端信息信息給抓取的autoclient,autoclient抓取好之後再通過API傳輸到服務器,

Python簡單驗證碼實現

num turn str randint print ice ret int 驗證碼 def v_code(): ret = ‘‘ for i in range(5): num = random.randint(0,9) alf =

Python實現簡單驗證碼的轉文字

宣告:本文章中的驗證碼爬取和識別僅用作試驗! 1.首先就是驗證碼的爬取,這裡我爬取的是學校oj的註冊驗證碼。背景基本沒有噪聲,容易處理。 2.在獲得驗證碼圖片的二進位制資料後,我們使用以下程式碼實現對圖片的本地儲存: def save_img(content):

Python 實現簡單圖片驗證碼登錄

需要 spa tps dem 圖片背景 round alt word exc 朋友說公司要在測試環境做接口測試,登錄時需要傳入正確的圖片的驗證碼,本著懶省事的原則,推薦他把測試環境的圖片驗證碼寫死,我們公司也是這麽做的^_^。勸說無果/(ㄒoㄒ)/~~,只能通過 OCR 技

asp.net Web API 身份驗證 不記名令牌驗證 Bearer Token Authentication 簡單實現

驗證 tca star ati manager ace .com return public 1. Startup.Auth.cs文件 添加屬性 1 public static OAuthBearerAuthenticati

Python實現簡單驗證碼模塊

str spa 註意 登錄界面 div 隨機 res 情況 我們 利用Python的random模塊可以完成隨機產生n位驗證碼的功能,且原理簡單。 1 import random 2 #完成5位隨機驗證碼的生成 3 def valiate1(): 4 st

python簡單驗證

turn 內存 構造 install pillow del all idt err 安裝圖片處理模塊pillow : pip install pillow pillow官網:http://pillow.readthedocs.io/en/latest/ 在views.p

python模塊——random模塊(簡單驗證碼實現)

nbsp ice range randint bin return sage 驗證碼 span 實現一個簡單的驗證碼生成器 #!/usr/bin/env python # -*- coding:utf-8 -*- __author__ = "loki" # Usage:

Python實現簡單API接口

== blank nvi 成功 b2c ams 類型 req number get方法 代碼實現 # coding:utf-8 import json from urlparse import parse_qs fr

Python:通過互億無線API實現驗證碼的接收

1.在互億無線註冊使用者。 2.在簡訊驗證獲取APIid以及APIpasswd 3.文件中心下載Api介面後通過解壓開啟Demo 4.找到自己需要的語言原始碼通過記事本開啟 5.將原始碼複製到編譯器 修改httplib為http.client urllib.urlencode修改為urlli

python api介面測試---要驗證登入狀態的介面

*** 有些測試系統為了演示多方便,會將登入的校驗去掉。不登入也可以用api 實際的系統需要攜帶正確得到id才能呼叫後面的介面成功 登入的目的是後續的請求中攜帶sessionid,sessionid哪來的?是登入的時候響應訊息裡面建立的。 登入成功後,返回的結果裡有一個set_c

kafka-pythonAPI簡單介紹

在上一篇文章中說明了kafka-python的API使用的理論概念,這篇文章來說明API的實際使用。 在官方文件詳細列出了kafka-python的API介面https://kafka-python.readthedocs.io/en/master/apidoc/KafkaConsumer.html 對於

Selenium+Python 自動化操控登入介面(有簡單驗證碼圖片校驗)

從最簡單的Web瀏覽器的登入介面開始,登入介面如下: 進行Web頁面自動化測試,對頁面上的元素進行定位和操作是核心。而操作又是以定位為前提的,因此,對頁面元素的定位是進行自動化測試的基礎。 頁面上的元素就像人一樣,有各種屬性,比如元素名字,元素i

python實現簡單登入驗證--三次輸入機會

def login():    i = 1    while True:        name = input("請輸入使用者名稱:")        if name != "tarena":            print('"使用者名稱錯誤,請重新輸入"')     

Python 新手實戰之機器學習實現簡單驗證碼識別(一):用PIL簡單繪製驗證

驗證碼生成 from PIL import Image, ImageDraw, ImageFont import random, os def draw(): #隨機生成背景顏色 (RGB顏色範圍為0-255,越高越接近白色),背景顏色不宜過深,

大資料學習[13]:elasticsearch之簡單python API

很多時間需要通過python來操作ES,在這裡記錄一個基本的方法。 1. 簡單的python API查詢 # coding=utf-8 from elasticsearch import Elasticsearch es = Elasticsear

Python一個簡單的抓取天氣資料的API介面

前提安裝:Python3 安裝第三方庫:pip3 install urllib3; pip3 install BeautifulSoup4; pip3 install bottle import urllib.request   import json from bs4

python編寫簡單RESTful API

初來乍到,菜鳥一枚。。。 1.安裝python 3.5.4 下載地址 *注意環境變數哦~~~ 2.使用包管理工具安裝flask (此處沒有安裝 virtualenv,這個主要是用來做直譯器環境隔離的,避免同一機器上的多個python或者多個p

一個簡單python登錄驗證系統

簡單的 bar gin lines img spa 技術 inpu 被鎖 希望大家來指正一下,之前間斷學習了很久,剛撿起來繼續學習,下面的代碼寫的不太好,希望看到的大神能夠給予指正。 修正版: 1 # python_zhangzengqiang 2

python 編寫簡單的setup.py

ria 如何 代碼 使用 文本 highlight ttl pac 文件夾   學習python也已經有一段時間了,發現python作為腳本語言一個很重要的特點就是簡單易用,而且擁有巨多的第三方庫,幾乎方方面面的庫都有,無論你處於哪個行業,想做什麽工作,幾乎都能找到對應的第