python 产生token及token验证的方法
1、前言
最近在做微信公众号开发在进行网页授权时,微信需要用户自己在授权url中带上一个类似token的state的参数,以防止跨站攻击。
在经过再三思考之后,自己试着实现一个产生token和验证token的方案。接下就把code贴出来。希望读者指导一下。
2、产生token
原理:
通过hmacsha1算法产生用户给定的key和token的最大过期时间戳的一个消息摘要,将这个消息摘要和最大过期时间戳通过":"拼接起来,再进行base64编码,生成最终的token
实现:
importtime
importbase64
importhmac
defgenerate_token(key,expire=3600):
r'''
@Args:
key:str(用户给定的key,需要用户保存以便之后验证token,每次产生token时的key都可以是同一个key)
expire:int(最大有效时间,单位为s)
@Return:
state:str
'''
ts_str=str(time.time()+expire)
ts_byte=ts_str.encode("utf-8")
sha1_tshexstr=hmac.new(key.encode("utf-8"),ts_byte,'sha1').hexdigest()
token=ts_str+':'+sha1_tshexstr
b64_token=base64.urlsafe_b64encode(token.encode("utf-8"))
returnb64_token.decode("utf-8")
3、验证token
原理:
将token进行base64解码,通过token得到token最大过期时间戳和消息摘要。判断token是否过期。
如没过期才将从token中的取得最大过期时间戳进行hmacsha1算法运算(注意这里的key要与产生token的key要相同),最后将产生的摘要与通过token取得消息摘要进行对比,如果两个摘要相等,则token有效,否则token无效。
实现:
importtime
importbase64
importhmac
defcertify_token(key,token):
r'''
@Args:
key:str
token:str
@Returns:
boolean
'''
token_str=base64.urlsafe_b64decode(state).decode('utf-8')
token_list=token_str.split(':')
iflen(token_list)!=2:
returnFalse
ts_str=token_list[0]
iffloat(ts_str)
4、用法
key="JD98Dskw=23njQndW9D"
#一小时后过期
token=generate_token(key,3600)
certify_token(key,token)
5、Note!!!
本代码只能在python3.x中运行。
以上这篇python产生token及token验证的方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持毛票票。