运维平台中RESTful的Token认证

在近期要做的RESTful服务API化的过程中,对于开放的API还是需要考虑基本的安全认证的,如果API能够随便被调用,可能对于功能来说是畅通的,如果调用模式固定了之后,再加上更强的安全机制,对于已有的业务流程都需要做加固,与其等到后来怨声载道,还不如提前安排,况且这个代价也不大。

我看了下网上的很多文章,似乎要想完整的调试通,中间总是会碰到一些额外的问题,今天在同事的帮助下把这个基本的功能先搞定了。

我们使用Django中的restframework来进行说明。

首先需要在Django的settings.py文件中配置rest_framework还有token

INSTALLED_APPS = (

'django.contrib.admin',

'django.contrib.auth',

'django.contrib.contenttypes',

'django.contrib.sessions',

'django.contrib.messages',

'django.contrib.staticfiles',

'OpsManage',

'rest_framework',

'djcelery',

'rest_framework.authtoken',

)

还需要配置下rest_framework的认证,加上token认证的class.

REST_FRAMEWORK = {

'DEFAULT_PERMISSION_CLASSES': [

'rest_framework.permissions.IsAdminUser',

],

'DEFAULT_AUTHENTICATION_CLASSES': [

'rest_framework.authentication.TokenAuthentication',

],

'PAGINATE_BY': 10

}

配置完之后,我们就可以生成token的model了。

使用 python manage.py makemigrations来检测model的变化

使用python manage.py migrate来做ORM映射,生成相应的表结构。

生成的关键SQL是:

CREATE TABLE `authtoken_token` (`key` varchar(40) NOT NULL PRIMARY KEY, `created` datetime(6) NOT NULL, `user_id` integer NOT NULL UNIQUE);

ALTER TABLE `authtoken_token` ADD CONSTRAINT `authtoken_token_user_id_1d10c57f535fb363_fk_auth_user_id` FOREIGN KEY (`user_id`) REFERENCES `auth_user` (`id`);

。。。

我们调用ORM API来调用Token信息

>>> from rest_framework.authtoken.models import Token

>>> Token.objects.all()

(0.000) SET SQL_AUTO_IS_NULL = 0; args=None

(0.001) SELECT `authtoken_token`.`key`, `authtoken_token`.`user_id`, `authtoken_token`.`created` FROM `authtoken_token` LIMIT 21; args=()

[]

可以看到里面的没有数据的,我们需要生成一些Token信息。

>>> from django.contrib.auth.models import User

>>> for user in User.objects.all():

... Token.objects.create(user=user)

这个过程会向Token的表中写入数据,即给每个用户生成相应的token

(0.000) INSERT INTO `authtoken_token` (`key`, `user_id`, `created`) VALUES ('2565018fb332f20f2885923a0e2313b3b769e7d9', 1, '2018-06-10 08:32:54.178471'); args=(u'2565018fb332f20f2885923a0e2313b3b769e7d9', 1, u'2018-06-10 08:32:54.178471')

<Token: 2565018fb332f20f2885923a0e2313b3b769e7d9>

我们后续调用的时候可以使用类似的方式来得到Token,当然这个过程是在view层来得到。

>>> Token.objects.get(user=1)

(0.000) SELECT `authtoken_token`.`key`, `authtoken_token`.`user_id`, `authtoken_token`.`created` FROM `authtoken_token` WHERE `authtoken_token`.`user_id` = 1; args=(1,)

<Token: 2565018fb332f20f2885923a0e2313b3b769e7d9>

如果后续要得到新的Token信息,可以参考如下的方式来变更。

token_key = hashlib.sha1(os.urandom(24)).hexdigest()

Token.objects.filter(user_id=request.user.id).update(key=token_key)

至少目前来说,我们可以先略过,因为我们起码的保证Token的API可以调用。

所以现在的优先目标是功能的调用,我们配置两个url,一个是api-token-auth这个是调用token的验证逻辑,第二个是我们新写的一个cmdb的调用api,这个部分可以根据你的需求来自行定制,哪怕你自己只是输出一个helloworld也行。

urls.py里面的配置如下:

url(r'^api/api-token-auth/', Token_api.gettoken),

url(r'^api/cmdb_list/$', cmdb_api.cmdb_server_list),

我们来写一个新的view Token_api,内容如下:

from OpsManage.models import *

from django.contrib import auth

from django.http import HttpResponse, JsonResponsefrom django.views.decorators.csrf import csrf_exempt

from rest_framework.authtoken.models import Token

from django.utils.datastructures import SortedDict

@csrf_exempt

# @api_view(['POST'])

def gettoken(request):

if request.method == 'POST':

username = request.POST.get('username', '')

password = request.POST.get('password', '')

user = auth.authenticate(username=username, password=password)

if user is not None:

auth.login(request, user)

token = Token.objects.get(user=User.objects.get(username=username)).key

return JsonResponse({'token': token}, safe=True)

else:

return JsonResponse({'error': 'valid username or password'})

else:

return JsonResponse({'error': 'No GET Method!'})

然后写一个cmdb_api.py,内容如下,这个逻辑是根据输入的参数来得到相应的数据库信息列表,比如输入db_type=MySQL则输出MySQL信息,大概是这样的信息。

@api_view(['GET', 'POST' ])

@permission_classes((permissions.IsAuthenticated,))

def cmdb_server_list(request,format=None):

"""

List all order, or create a server assets order.

"""

if request.method == 'GET':

db_type = request.GET.get("db_type")

if db_type != None:

snippets = Cmdb_server.objects.filter(server_status=1).filter(server_db_type=db_type)

serializer = Cmdb_serverSerializer(snippets, many=True)

else:

snippets = Cmdb_server.objects.filter(server_status=1)[0:10]

serializer = Cmdb_serverSerializer(snippets, many=True)

return Response(serializer.data)

elif request.method == 'POST':

serializer = Cmdb_serverSerializer(data=request.data)

if serializer.is_valid():

serializer.save()

return Response(serializer.data, status=status.HTTP_201_CREATED)

return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

到了这里,其实cmdb_api和token_api还没有关联起来,调用的方式我们可以直接使用rest_framework来得到,当然这个是页面层面的信息,要得到更加正式的信息,我们需要使用requests,即独立客户端的调用方式,我们使用了requests的方式调用gettoken得到token_api.gettoken的结果,getresponse是一个相对通用的方法,可以传入url得到返回数据。

import requests

import json

def gettoken(username,password):

data = {'username': username, 'password': password}

print(data)

s = requests.post('http://xxxxx:8000/api/api-token-auth/', data, verify=False)

print(s.text)

token = eval(s.text).get('token')

return token

def getresponse(url, token):

headers = {"Authorization": "Token %s" % token}

ss = requests.Session()

r = ss.get(url, headers=headers, verify=False)

res = json.loads(r.text)

return res

token = gettoken('xxxx', 'xxxxx')

print(token)

rs = getresponse('http://xxxxx:8000/api/cmdb_list/',token)

print(rs)

我们模拟测试的话,可以使用python api.py的方式,得到的数据是这样的形式:

# python api.py

{"token": "2565018fb332f20f2885923a0e2313b3b769e7d9"}

2565018fb332f20f2885923a0e2313b3b769e7d9

[{u'update_date': None, u'create_date': u'2018-02-01T17:29:32', u'server_status': u'1', u'server_db_role': u'Master', u'server_db_type': u'MySQL', u'server_ip_addr': u'xxxxxxxxxxx', u'id': 168}, {u'update_date': None, u'create_date': u'2018-02-01T17:29:32', u'server_status': u'1', u'server_db_role': u'Master', u'server_db_type': u'MySQL', u'server_ip_addr': u'xxxxxxxxxxxxx', u'id': 169}...

到了这里,你就可以独立的调用RESTful接口,使用token认证得到数据。

原文发布于微信公众号 - 杨建荣的学习笔记(jianrong-notes)

原文发表时间:2018-06-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程

SQLplus命令

Oracle的sqlplus是与oracle数据库进行交互的客户端工具,借助sqlplus可以查看、修改数据库记录。在sqlplus中,可以运行sqlplus命...

2076
来自专栏我的博客

TP入门第十一天

1、数据库视图 视图通常是指数据库的视图,视图是一个虚拟表,其内容由查询定义。同真实的表一样,视图包含一系列带有名称的列和行数据。但是,视图并不在数据库中以存储...

3586
来自专栏AI深度学习求索

文字识别小项目-调用百度api文字识别,并将结果存入txt文件

1851
来自专栏一个会写诗的程序员的博客

mysql-8.0.11-winx64 安装配置: mysqld --initialize --console MYSQL:ERROR 1045 (28000): Access denied ...

mysql-8.0.11-winx64 安装配置: mysqld --initialize --console MYSQL:ERROR 1045 (28000...

2K1
来自专栏云计算教程系列

如何使用Mytop监控MySQL性能

Mytop是一个用于监控MySQL性能的开源命令行工具。它受到名为top的Linux系统监视工具的启发,在外观和感觉上类似于它。Mytop连接到MySQL服务器...

2700
来自专栏cloudskyme

提高数据库查询速度的几个思路

1、缓存,在持久层或持久层之上做缓存。 2、数据库表的大字段剥离,保证单条记录的数据量很小。 3、恰当地使用索引。 4、必要时建立多级索引。 5、分析O...

3938
来自专栏云计算

使用Postfix,Dovecot和MySQL发送电子邮件

在本指南中,您将学习如何在Debian或Ubuntu上使用Postfix,Dovecot和MySQL设置安全的虚拟用户邮件服务器。我们将解释如何创建新的用户邮箱...

3592

使用CentOS 7上的Postfix,Dovecot和MariaDB发送电子邮件

Postfix邮件传输代理(MTA)是一种高性能的开源电子邮件服务器系统。本指南将帮助您在CentOS 7 Linode上运行Postfix,使用Dovecot...

1753
来自专栏杨建荣的学习笔记

MySQL数据导入导出牛刀小试(r5笔记第3天)

最近学习了下MySQL中数据的导入导出,发现功能点真是丰富,很方便很快捷。 这些导入导出的方式还是有不少的细节的,在此先不做扩展和深入分析。 --数据导出 方式...

3734
来自专栏程序员的SOD蜜

使用SQLServer同义词和SQL邮件,解决发布订阅中订阅库丢失数据的问题

最近给客户做了基于SQLServer的发布订阅的“读写分离”功能,但是某些表数据很大,经常发生某几条数据丢失的问题,导致订阅无法继续进行。但是每次发现问题重新做...

3107

扫码关注云+社区

领取腾讯云代金券