Python拓展5（token及token验证[仅可以在python3中使用]）

token及token验证

涉及模块hmac与base64

hmac模块

简介

　　HMAC是密钥相关的哈希运算消息认证码，HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出

典型应用

　　HMAC的一个典型应用是用在“质疑/应答”（Challenge/Response）身份认证中。

　　认证流程：　

　　　　(1) 先由客户端向服务器发出一个验证请求。

　　　　(2) 服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为质疑）。

　　　　(3) 客户端将收到的随机数提供给ePass，由ePass使用该随机数与存储在ePass中的 密钥进行HMAC-MD5运算并得到一个结果作为认证证据传给服务器（此为响应）。

　　　　(4) 与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户

安全性　

　　由上面的介绍，我们可以看出，HMAC算法更象是一种加密算法，它引入了密钥，其安全性已经不完全依赖于所使用的HASH算法，安全性主要有以下几点保证：

　　（1） 使用的密钥是双方事先约定的，第三方不可能知道。由3.2介绍的应用流程可以看出，作为非法截获信息的第三方，能够得到的信息只有作为“挑战”的随机数和作为“响应”的HMAC结果，无法根据这两个数据推算出密钥。由于不知道密钥，所以无法仿造出一致的响应。

生产token

　　原理: 

　　通过hmac sha1 算法产生用户给定的key和token的最大过期时间戳的一个消息摘要，将这个消息摘要和最大过期时间戳通过”:”拼接起来，再进行base64编码，生成最终的token 

import time
import base64
import hmac


def generate_token(key, expire=3600):
    """
    :param key:  str (用户给定的key，需要用户保存以便之后验证token,每次产生token时的key 都可以是同一个key)
    :param expire: int(最大有效时间，单位为s)
    :return:  state: str
    """
    ts_str = str(time.time() + expire)
    ts_byte = ts_str.encode("utf-8")
    sha1_tshexstr = hmac.new(key.encode("utf-8"), ts_byte, 'sha1').hexdigest()
    token = ts_str + ':' + sha1_tshexstr
    b64_token = base64.urlsafe_b64encode(token.encode("utf-8"))
    return b64_token.decode("utf-8")

ret = generate_token("1234566788")
print(ret)

验证token:

　　原理: 

　　将token进行base64解码,通过token得到token最大过期时间戳和消息摘要。判断token是否过期。 
　　如没过期才将 从token中的取得最大过期时间戳进行hmac sha1 算法运算(注意这里的key要与产生token的key要相同)，最后将产生的摘要与通过token取得消息摘要进行对比， 如果两个摘要相等，则token有效，否则token无效 。

 

def certify_token(key, token):
    """
    :param key: str
    :param token: str
    :return:  boolean
    """

    token_str = base64.urlsafe_b64decode(token).decode('utf-8')
    token_list = token_str.split(':')
    if len(token_list) != 2:
        return False
    ts_str = token_list[0]
    if float(ts_str) < time.time():
        # token expired
        return False
    known_sha1_tsstr = token_list[1]
    sha1 = hmac.new(key.encode("utf-8"), ts_str.encode('utf-8'), 'sha1')
    calc_sha1_tsstr = sha1.hexdigest()
    if calc_sha1_tsstr != known_sha1_tsstr:
        # token certification failed
        return False
        # token certification success
    return True
key = '1234566788' 
token = 'MTUzMTc0NDU2OS43OTEzNjg3OjVkZjllNGIyZDgzMmNlYWU2YmRjOGFhMzk2M2Q4NWJmOGVjZTI5YmE=' certify_token(key, token)

 

转载于:https://www.cnblogs.com/L5251/articles/9319846.html