ronon77

优化Django Rest Framework 的Token验证功能

pi的通信采用token + ssl，简化和方便线上脚本的调用。Django版本1.8.16，djangorestframework版本3.5.3，用了框架提供的rest_framework.authtoken.views.obtain_auth_token和rest_framework.authentication.TokenAuthentication后，发现了一个问题，前者认证通过创建token后，这个token就不会自动更新了，非常不安全，非常危险。后者验证时候是不带缓存的，需要查询数据库，由于每次请求都要验证token，请求相当频繁，感觉不是很爽。

1、实现生成的token带过期时间
首先在setting.py配置文件设置过期时间 REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES,这里设置为60分钟

 
           # 
          
           REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES  
           = 
           60 
          
           #

setting.py同目录文件view.py编辑一个视图

 
           # 
          
           #coding=utf8 
          
           import 
           datetime 
          
           from 
           django.conf  
           import 
           settings 
          
           from 
           rest_framework  
           import 
           status 
          
           from 
           rest_framework.response  
           import 
           Response 
          
           from 
           rest_framework.authtoken.models  
           import 
           Token 
          
           from 
           rest_framework.authtoken.views  
           import 
           ObtainAuthToken 
          
           EXPIRE_MINUTES  
           = 
           getattr 
           (settings,  
           'REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES' 
           ,  
           1 
           ) 
          
           class 
           ObtainExpiringAuthToken(ObtainAuthToken): 
          
           """Create user token""" 
          
           def 
           post( 
           self 
           , request): 
          
           serializer  
           = 
           self 
           .serializer_class(data 
           = 
           request.data) 
          
           if 
           serializer.is_valid(): 
          
           token, created  
           =  
           Token.objects.get_or_create(user 
           = 
           serializer.validated_data[ 
           'user' 
           ]) 
          
           time_now  
           = 
           datetime.datetime.now() 
          
           if 
           created  
           or 
           token.created < time_now  
           - 
           datetime.timedelta(minutes 
           = 
           EXPIRE_MINUTES): 
          
           # Update the created time of the token to keep it valid 
          
           token.delete() 
          
           token  
           = 
           Token.objects.create(user 
           = 
           serializer.validated_data[ 
           'user' 
           ]) 
          
           token.created  
           = 
           time_now 
          
           token.save() 
          
           return 
           Response({ 
           'token' 
           : token.key}) 
          
           return 
           Response(serializer.errors, status 
           = 
           status.HTTP_400_BAD_REQUEST) 
          
           obtain_expiring_auth_token  
           = 
           ObtainExpiringAuthToken.as_view() 
          
           #

url.py新增url用于生成用户token

 
           # 
          
           #from rest_framework.authtoken.views import obtain_auth_token 
          
           from 
           .views  
           import 
           obtain_expiring_auth_token 
          
           urlpatterns  
           + 
           = 
           [ 
          
           #url(r'^api/token/', obtain_auth_token, name='api-token'), 
          
           url(r 
           '^api/token/' 
           , obtain_expiring_auth_token, name 
           = 
           'api-token' 
           ), 
          
           ] 
          
           #

用curl测试接口 api/token/

 
           #  
          
           git:(master) ✗ curl -H  
           "Content-Type: application/json" 
           -X POST -d  
           '{"username":"test","password":"test"}' 
           http: 
           //127 
           .0.0.1:9000 
           /api/token/ 
          
           { 
           "token" 
           : 
           "6ff54785241f825846e4c5fca61cceb6be7f911e" 
           }% 
          
           #

然后，然后这个生成token的接口就好了。目前还有一个问题，用户就是生成一个token例如A，然后用户再也不来请求这个接口生成token，那么这个用户的token A也会一直生效且不会被更新，那么要需要结合token验证函数，来强制删除用户过期的token。

2、自定义token验证，强制删除过期的token，顺便缓存下没有过期的token
首先在setting.py文件新增全局认证类api.authentication.ExpiringTokenAuthentication替换默认的rest_framework.authentication.TokenAuthentication

 
           #  
          
           REST_FRAMEWORK  
           = 
           { 
          
           'DEFAULT_AUTHENTICATION_CLASSES' 
           : [ 
          
           'rest_framework.authentication.BasicAuthentication' 
           , 
          
           #'rest_framework.authentication.TokenAuthentication',  #enable Token authentication 
          
           'api.authentication.ExpiringTokenAuthentication' 
          
           ], 
          
           'PAGE_SIZE' 
           :  
           10 
           , 
          
           } 
          
           #

新建authentication.py文件，改文件在api这个目录下面。

 
           #  
          
           #coding=utf8 
          
           import 
           datetime 
          
           from 
           django.conf  
           import 
           settings 
          
           from 
           rest_framework.authentication  
           import 
           TokenAuthentication 
          
           from 
           rest_framework  
           import 
           exceptions 
          
           from 
           django.utils.translation  
           import 
           ugettext_lazy as _ 
          
           from 
           django.core.cache  
           import 
           cache 
          
           EXPIRE_MINUTES  
           = 
           getattr 
           (settings,  
           'REST_FRAMEWORK_TOKEN_EXPIRE_MINUTES' 
           ,  
           1 
           ) 
          
           class 
           ExpiringTokenAuthentication(TokenAuthentication): 
          
           """Set up token expired time""" 
          
           def 
           authenticate_credentials( 
           self 
           , key): 
          
           # Search token in cache 
          
           cache_user  
           = 
           cache.get(key) 
          
           if 
           cache_user: 
          
           return 
           (cache_user, key) 
          
           model  
           = 
           self 
           .get_model() 
          
           try 
           : 
          
           token  
           = 
           model.objects.select_related( 
           'user' 
           ).get(key 
           = 
           key) 
          
           except 
           model.DoesNotExist: 
          
           raise 
           exceptions.AuthenticationFailed(_( 
           'Invalid token.' 
           )) 
          
           if 
           not 
           token.user.is_active: 
          
           raise 
           exceptions.AuthenticationFailed(_( 
           'User inactive or deleted.' 
           )) 
          
           time_now  
           = 
           datetime.datetime.now() 
          
           if 
           token.created < time_now  
           - 
           datetime.timedelta(minutes 
           = 
           EXPIRE_MINUTES): 
          
           token.delete() 
          
           raise 
           exceptions.AuthenticationFailed(_( 
           'Token has expired then delete.' 
           )) 
          
           if 
           token: 
          
           # Cache token 
          
           cache. 
           set 
           (key, token.user, EXPIRE_MINUTES  
           * 
           60 
           ) 
          
           return 
           (token.user, token) 
          
           #

然后然后，所有的功能都实现了，删除用户过期的token和缓存token减少数据库查询。

你可能感兴趣的:(python&nodejs)

ViewController添加button按钮解析。（翻译）张亚雄 c
<div class="it610-blog-content-contain" style="font-size: 14px"></div>// ViewController.m // Reservation software // // Created by 张亚雄 on 15/6/2.
mongoDB 简单的增删改查开窍的石头 mongodb
在上一篇文章中我们已经讲了mongodb怎么安装和数据库/表的创建。在这里我们讲mongoDB的数据库操作在mongo中对于不存在的表当你用db.表名他会自动统计下边用到的user是表明，db代表的是数据库添加(insert):
log4j配置 0624chenhong log4j
1) 新建java项目 2) 导入jar包，项目右击，properties—java build path—libraries—Add External jar，加入log4j.jar包。 3) 新建一个类com.hand.Log4jTest package com.hand; import org.apache.log4j.Logger; public class
多点触摸(图片缩放为例) 不懂事的小屁孩多点触摸
多点触摸的事件跟单点是大同小异的，上个图片缩放的代码，供大家参考一下 import android.app.Activity; import android.os.Bundle; import android.view.MotionEvent; import android.view.View; import android.view.View.OnTouchListener
有关浏览器窗口宽度高度几个值的解析换个号韩国红果果 JavaScript html
1 元素的 offsetWidth 包括border padding content 整体的宽度。 clientWidth 只包括内容区 padding 不包括border。 clientLeft = offsetWidth -clientWidth 即这个元素border的值 offsetLeft 若无已定位的包裹元素
数据库产品巡礼：IBM DB2概览蓝儿唯美 db2
IBM DB2是一个支持了NoSQL功能的关系数据库管理系统，其包含了对XML，图像存储和Java脚本对象表示（JSON）的支持。DB2可被各种类型的企业使用，它提供了一个数据平台，同时支持事务和分析操作，通过提供持续的数据流来保持事务工作流和分析操作的高效性。 DB2支持的操作系统 DB2可应用于以下三个主要的平台: 工作站，DB2可在Linus、Unix、Windo
java笔记5 a-john java
控制执行流程： 1，true和false 利用条件表达式的真或假来决定执行路径。例：（a==b）。它利用条件操作符“==”来判断a值是否等于b值，返回true或false。java不允许我们将一个数字作为布尔值使用，虽然这在C和C++里是允许的。如果想在布尔测试中使用一个非布尔值，那么首先必须用一个条件表达式将其转化成布尔值，例如if(a!=0)。 2，if-els
Web开发常用手册汇总 aijuans PHP
一门技术，如果没有好的参考手册指导,很难普及大众。这其实就是为什么很多技术，非常好，却得不到普遍运用的原因。正如我们学习一门技术，过程大概是这个样子： ①我们日常工作中，遇到了问题，困难。寻找解决方案，即寻找新的技术； ②为什么要学习这门技术？这门技术是不是很好的解决了我们遇到的难题，困惑。这个问题，非常重要，我们不是为了学习技术而学习技术，而是为了更好的处理我们遇到的问题，才需要学习新的
今天帮助人解决的一个sql问题 asialee sql
今天有个人问了一个问题，如下： type AD value A
意图对象传递数据百合不是茶 android 意图Intent Bundle对象数据的传递
学习意图将数据传递给目标活动; 初学者需要好好研究的 1,将下面的代码添加到main.xml中 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http:/
oracle查询锁表解锁语句 bijian1013 oracle object session kill
一.查询锁定的表如下语句，都可以查询锁定的表语句一： select a.sid, a.serial#, p.spid, c.object_name, b.session_id, b.oracle_username, b.os_user_name from v$process p, v$s
mac osx 10.10 下安装 mysql 5.6 二进制文件［tar.gz］征客丶 mysql osx
场景：在 mac osx 10.10 下安装 mysql 5.6 的二进制文件。环境：mac osx 10.10、mysql 5.6 的二进制文件步骤：[所有目录请从根“/”目录开始取，以免层级弄错导致找不到目录] 1、下载 mysql 5.6 的二进制文件，下载目录下面称之为 mysql5.6SourceDir；下载地址：http://dev.mysql.com/downl
分布式系统与框架 bit1129 分布式
RPC框架 Dubbo 什么是Dubbo Dubbo是一个分布式服务框架，致力于提供高性能和透明化的RPC远程服务调用方案，以及SOA服务治理方案。其核心部分包含: 远程通讯: 提供对多种基于长连接的NIO框架抽象封装，包括多种线程模型，序列化，以及“请求-响应”模式的信息交换方式。集群容错: 提供基于接
那些令人蛋痛的专业术语白糖_ spring Web SSO IOC
spring 【控制反转(IOC)/依赖注入(DI)】：由容器控制程序之间的关系，而非传统实现中，由程序代码直接操控。这也就是所谓“控制反转”的概念所在：控制权由应用代码中转到了外部容器，控制权的转移，是所谓反转。简单的说：对象的创建又容器(比如spring容器)来执行，程序里不直接new对象。 Web 【单点登录(SSO)】：SSO的定义是在多个应用系统中，用户
《给大忙人看的java8》摘抄 braveCS java8
函数式接口：只包含一个抽象方法的接口 lambda表达式：是一段可以传递的代码你最好将一个lambda表达式想象成一个函数，而不是一个对象，并记住它可以被转换为一个函数式接口。事实上，函数式接口的转换是你在Java中使用lambda表达式能做的唯一一件事。方法引用：又是要传递给其他代码的操作已经有实现的方法了，这时可以使
编程之美-计算字符串的相似度 bylijinnan java 算法编程之美
public class StringDistance { /** * 编程之美计算字符串的相似度 * 我们定义一套操作方法来把两个不相同的字符串变得相同，具体的操作方法为： * 1.修改一个字符（如把“a”替换为“b”）; * 2.增加一个字符（如把“abdd”变为“aebdd”）; * 3.删除一个字符（如把“travelling”变为“trav
上传、下载压缩图片 chengxuyuancsdn 下载
/** * * @param uploadImage --本地路径(tomacat路径) * @param serverDir --服务器路径 * @param imageType --文件或图片类型 * 此方法可以上传文件或图片.txt,.jpg,.gif等 */ public void upload(String uploadImage,Str
bellman-ford(贝尔曼-福特)算法 comsci 算法 F#
Bellman-Ford算法(根据发明者 Richard Bellman 和 Lester Ford 命名)是求解单源最短路径问题的一种算法。单源点的最短路径问题是指：给定一个加权有向图G和源点s，对于图G中的任意一点v，求从s到v的最短路径。有时候这种算法也被称为 Moore-Bellman-Ford 算法，因为 Edward F. Moore zu 也为这个算法的发展做出了贡献。与迪科
oracle ASM中ASM_POWER_LIMIT参数 daizj ASM oracle ASM_POWER_LIMIT 磁盘平衡
ASM_POWER_LIMIT 该初始化参数用于指定ASM例程平衡磁盘所用的最大权值，其数值范围为0~11，默认值为1。该初始化参数是动态参数，可以使用ALTER SESSION或ALTER SYSTEM命令进行修改。示例如下： SQL>ALTER SESSION SET Asm_power_limit=2;
高级排序:快速排序 dieslrae 快速排序
public void quickSort(int[] array){ this.quickSort(array, 0, array.length - 1); } public void quickSort(int[] array,int left,int right){ if(right - left <= 0
C语言学习六指针_何谓变量的地址一个指针变量到底占几个字节 dcj3sjt126com C语言
# include <stdio.h> int main(void) { /* 1、一个变量的地址只用第一个字节表示 2、虽然他只使用了第一个字节表示，但是他本身指针变量类型就可以确定出他指向的指针变量占几个字节了 3、他都只存了第一个字节地址，为什么只需要存一个字节的地址，却占了4个字节，虽然只有一个字节，但是这些字节比较多，所以编号就比较大，
phpize使用方法 dcj3sjt126com PHP
phpize是用来扩展php扩展模块的，通过phpize可以建立php的外挂模块,下面介绍一个它的使用方法,需要的朋友可以参考下安装（fastcgi模式）的时候，常常有这样一句命令：代码如下: /usr/local/webserver/php/bin/phpize 一、phpize是干嘛的？ phpize是什么？ phpize是用来扩展php扩展模块的，通过phpi
Java虚拟机学习 - 对象引用强度 shuizhaosi888 JAVA虚拟机
本文原文链接：http://blog.csdn.net/java2000_wl/article/details/8090276 转载请注明出处！无论是通过计数算法判断对象的引用数量，还是通过根搜索算法判断对象引用链是否可达，判定对象是否存活都与“引用”相关。引用主要分为：强引用(Strong Reference)、软引用(Soft Reference)、弱引用(Wea
.NET Framework 3.5 Service Pack 1（完整软件包）下载地址 happyqing .net 下载 framework
Microsoft .NET Framework 3.5 Service Pack 1（完整软件包） http://www.microsoft.com/zh-cn/download/details.aspx?id=25150 Microsoft .NET Framework 3.5 Service Pack 1 是一个累积更新，包含很多基于 .NET Framewo
JAVA定时器的使用 jingjing0907 java timer 线程定时器
1、在应用开发中，经常需要一些周期性的操作，比如每5分钟执行某一操作等。对于这样的操作最方便、高效的实现方式就是使用java.util.Timer工具类。 privatejava.util.Timer timer; timer = newTimer(true); timer.schedule( newjava.util.TimerTask() { public void run()
Webbench 流浪鱼 webbench
首页下载地址 http://home.tiscali.cz/~cz210552/webbench.html Webbench是知名的网站压力测试工具，它是由Lionbridge公司（http://www.lionbridge.com）开发。 Webbench能测试处在相同硬件上，不同服务的性能以及不同硬件上同一个服务的运行状况。webbench的标准测试可以向我们展示服务器的两项内容：每秒钟相
第11章动画效果（中） onestopweb 动画
index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
windows下制作bat启动脚本. sanyecao2314 java cmd 脚本 bat
java -classpath C:\dwjj\commons-dbcp.jar;C:\dwjj\commons-pool.jar;C:\dwjj\log4j-1.2.16.jar;C:\dwjj\poi-3.9-20121203.jar;C:\dwjj\sqljdbc4.jar;C:\dwjj\voucherimp.jar com.citsamex.core.startup.MainStart
Java进行RSA加解密的例子 tomcat_oracle java
加密是保证数据安全的手段之一。加密是将纯文本数据转换为难以理解的密文；解密是将密文转换回纯文本。　　数据的加解密属于密码学的范畴。通常，加密和解密都需要使用一些秘密信息，这些秘密信息叫做密钥，将纯文本转为密文或者转回的时候都要用到这些密钥。　　对称加密指的是发送者和接收者共用同一个密钥的加解密方法。　　非对称加密(又称公钥加密)指的是需要一个私有密钥一个公开密钥，两个不同的密钥的
Android_ViewStub 阿尔萨斯 ViewStub
public final class ViewStub extends View java.lang.Object android.view.View android.view.ViewStub 类摘要： ViewStub 是一个隐藏的，不占用内存空间的视图对象，它可以在运行时延迟加载布局资源文件。当 ViewSt