python API的安全认证

时间  2019-11-14
标签 python api 安全 认证 栏目 Python 繁體版
原文   原文链接

咱们根据pid加客户端的时间戳进行加密md5(pid|时间戳)获得的单向加密串,与时间戳,或者其它字段的串的url给服务端。python

服务端接收到请求的url进行分析web

  • 客户端时间与服务端的时间戳之差若是大于规定的时间好比咱们规定10s,这样就是属于过时时间。防止有人黑了url,再次请求  能够用redis
  •  若是上面的时间符合,再判断列表内是否存在url,若是存在则return,这样防止有人短期获取url再次请求,咱们拒绝咱们只接受第一次的
  •  这样前面的两个都经过 就能够了。

app.py 服务端的api验证redis

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import tornado.ioloop
import tornado.web
import hashlib
access_record = [

]

PID_LIST = [
    'qwe',
    'ioui',
    '234s',
]
class MainHandler(tornado.web.RequestHandler):
    def get(self):
        import time
        # 获取url中所有数据
        pid = self.get_argument('pid', None)
        # 获取变量
        m5, client_time, i = pid.split('|')

        server_time = time.time()
        # 时间超过10s禁止
        if server_time > float(client_time) + 10:
            self.write('')
            return
        # 处理10s内容重复的请求
        if pid in access_record:
            self.write('')
            return
        access_record.append(pid)

        pid = PID_LIST[int(i)]
        ramdom_str = "%s|%s" %(pid, client_time)
        h = hashlib.md5()
        h.update(bytes(ramdom_str, encoding='utf-8'))
        server_m5 = h.hexdigest()
        # print(m5,server_m5)
        if m5 == server_m5:
            self.write("Hello, world")
        else:
            self.write('')

application = tornado.web.Application([
    (r"/index", MainHandler),
])

if __name__ == "__main__":
    application.listen(8888)
    tornado.ioloop.IOLoop.instance().start()

客户端拼接urlapi

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import time
import requests
import hashlib

PID = 'qwe'

current_time = time.time()
ramdom_str = "%s|%s" %(PID, current_time)
h = hashlib.md5()
h.update(bytes(ramdom_str, encoding='utf-8'))
UID = h.hexdigest()

q = "%s|%s|0" %(UID, current_time)
url = 'http://127.0.0.1:8888/index?pid=%s' % q
print(url)
ret = requests.get(url)


print(ret.text)

黑客app

#!/usr/bin/env python
# -*- coding:utf-8 -*-
import requests

ret = requests.get('http://127.0.0.1:8888/index?pid=c2539948caa7b7fe0d00fcd9d75b7574|1474341577.4938722|0')
print(ret.text)
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程