14.2 基于令牌的认证

    上节我们介绍了基于http的认证, 由于客户端每次发出请求时都要发送密令, 为了避免老是发送敏感信息, 我们可以提供一种基于令牌的认证方案。

一. 修改app/models.py

class User(db.Model):

    #生成认证令牌

    def generate_auth_token(self, expiration):

        s = Serializer(current_app.config['SECRET_KEY'], expires_in=expiration)

        return s.dumps({'id': self.id})


    #验证认证令牌, 如果令牌可用就返回对应的用户

    @staticmethod

    def verify_auth_token(self, token):

        s = Serializer(current_app.config['SECRET_KEY'])

        try:

            data = s.loads()

        except:

            return None

        return User.query.get(data['id'])

二. 修改app/api_1_0/authentication.py

@auth.verify_password

def verify_password(email_or_token, password):

    #如果填的是token字符串

    if password = '':

        g.current_user = User.verify_auth_token(email_or_token)

        g.token_userd = True

        return g.current_user is not None
    #如果填的是email和密码

    user = User.query.filter_by(email=email_or_token).first()

    if not user:

        return False

    g.current_user = user

    g.token_used = False

    return user.verify_password(password)

代码分析:

    用户访问api蓝本注册的路由时, 首先会访问@api.before_request修饰器修饰的before_request函数, 而before_request函数被修饰器@auth.login_required修饰, 所以会触发auth.verify_password认证, 就会弹出类似下面的对话框要求用户填写认证信息

    14.2 基于令牌的认证_第1张图片

    如果我们填写的是token字符串, 那么密码栏为空, verify_password函数验证token, 并返回结果;

    如果我们填写的是email和password, 那么verify_password函数验证email和密码, 并返回结果;

    这里我们用g.token_used变量来让视图函数区分这两种认证方法。

    因此认证函数的作用就是, 认证所有访问 api蓝本注册的路由 的用户, 如果认证通过g.current_user存储认证通过的用户, 并访问路由, 认证失败则无法访问路由。

三. 修改app/api_1_0/authentication.py

@api.route('/token')

def get_token():

    if g.token_used:

        return unauthorized('Invalid credentials')

    return jsonify({'token': g.current_user.generate_auth_token(expiration=3600), 'expiration': 3600}

代码分析:

    如果用户访问该路由获取token, 认证通过时, g.current_user会存储认证通过的用户, 然后访问该路由, 返回由该用户id生成的token字符串, g.token_used的if判断是为了防止使用旧token生成新token。

四。 效果演示

1)访问生成token的路由

2)填写用户名密码进行认证

14.2 基于令牌的认证_第2张图片

3)认证成功,视图函数返回生成的token字符串

14.2 基于令牌的认证_第3张图片

4)下次访问api注册的路由时就可以填写token字符串

14.2 基于令牌的认证_第4张图片

5)如果我们试图用旧token生成新token

14.2 基于令牌的认证_第5张图片

6)返回错误

14.2 基于令牌的认证_第6张图片

你可能感兴趣的:(flask,web)