运维平台中RESTful的Token认证
运维平台中RESTful的Token认证
在近期要做的RESTful服务API化的过程中,对于开放的API还是需要考虑基本的安全认证的,如果API能够随便被调用,可能对于功能来说是畅通的,如果调用模式固定了之后,再加上更强的安全机制,对于已有的业务流程都需要做加固,与其等到后来怨声载道,还不如提前安排,况且这个代价也不大。
我看了下网上的很多文章,似乎要想完整的调试通,中间总是会碰到一些额外的问题,今天在同事的帮助下把这个基本的功能先搞定了。
我们使用Django中的restframework来进行说明。
首先需要在Django的settings.py文件中配置rest_framework还有token
INSTALLED_APPS = (
'django.contrib.admin',
'django.contrib.auth',
'django.contrib.contenttypes',
'django.contrib.sessions',
'django.contrib.messages',
'django.contrib.staticfiles',
'OpsManage',
'rest_framework',
'djcelery',
'rest_framework.authtoken',
)
还需要配置下rest_framework的认证,加上token认证的class.
REST_FRAMEWORK = {
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.IsAdminUser',
],
'DEFAULT_AUTHENTICATION_CLASSES': [
'rest_framework.authentication.TokenAuthentication',
],
'PAGINATE_BY': 10
}
配置完之后,我们就可以生成token的model了。
使用 python manage.py makemigrations来检测model的变化
使用python manage.py migrate来做ORM映射,生成相应的表结构。
生成的关键SQL是:
CREATE TABLE `authtoken_token` (`key` varchar(40) NOT NULL PRIMARY KEY, `created` datetime(6) NOT NULL, `user_id` integer NOT NULL UNIQUE);
ALTER TABLE `authtoken_token` ADD CONSTRAINT `authtoken_token_user_id_1d10c57f535fb363_fk_auth_user_id` FOREIGN KEY (`user_id`) REFERENCES `auth_user` (`id`);
。。。
我们调用ORM API来调用Token信息
>>> from rest_framework.authtoken.models import Token
>>> Token.objects.all()
(0.000) SET SQL_AUTO_IS_NULL = 0; args=None
(0.001) SELECT `authtoken_token`.`key`, `authtoken_token`.`user_id`, `authtoken_token`.`created` FROM `authtoken_token` LIMIT 21; args=()
[]
可以看到里面的没有数据的,我们需要生成一些Token信息。
>>> from django.contrib.auth.models import User
>>> for user in User.objects.all():
... Token.objects.create(user=user)
这个过程会向Token的表中写入数据,即给每个用户生成相应的token
(0.000) INSERT INTO `authtoken_token` (`key`, `user_id`, `created`) VALUES ('2565018fb332f20f2885923a0e2313b3b769e7d9', 1, '2018-06-10 08:32:54.178471'); args=(u'2565018fb332f20f2885923a0e2313b3b769e7d9', 1, u'2018-06-10 08:32:54.178471')
<Token: 2565018fb332f20f2885923a0e2313b3b769e7d9>
我们后续调用的时候可以使用类似的方式来得到Token,当然这个过程是在view层来得到。
>>> Token.objects.get(user=1)
(0.000) SELECT `authtoken_token`.`key`, `authtoken_token`.`user_id`, `authtoken_token`.`created` FROM `authtoken_token` WHERE `authtoken_token`.`user_id` = 1; args=(1,)
<Token: 2565018fb332f20f2885923a0e2313b3b769e7d9>
如果后续要得到新的Token信息,可以参考如下的方式来变更。
token_key = hashlib.sha1(os.urandom(24)).hexdigest()
Token.objects.filter(user_id=request.user.id).update(key=token_key)
至少目前来说,我们可以先略过,因为我们起码的保证Token的API可以调用。
所以现在的优先目标是功能的调用,我们配置两个url,一个是api-token-auth这个是调用token的验证逻辑,第二个是我们新写的一个cmdb的调用api,这个部分可以根据你的需求来自行定制,哪怕你自己只是输出一个helloworld也行。
urls.py里面的配置如下:
url(r'^api/api-token-auth/', Token_api.gettoken),
url(r'^api/cmdb_list/$', cmdb_api.cmdb_server_list),
我们来写一个新的view Token_api,内容如下:
from OpsManage.models import *
from django.contrib import auth
from django.http import HttpResponse, JsonResponsefrom django.views.decorators.csrf import csrf_exempt
from rest_framework.authtoken.models import Token
from django.utils.datastructures import SortedDict
@csrf_exempt
# @api_view(['POST'])
def gettoken(request):
if request.method == 'POST':
username = request.POST.get('username', '')
password = request.POST.get('password', '')
user = auth.authenticate(username=username, password=password)
if user is not None:
auth.login(request, user)
token = Token.objects.get(user=User.objects.get(username=username)).key
return JsonResponse({'token': token}, safe=True)
else:
return JsonResponse({'error': 'valid username or password'})
else:
return JsonResponse({'error': 'No GET Method!'})
然后写一个cmdb_api.py,内容如下,这个逻辑是根据输入的参数来得到相应的数据库信息列表,比如输入db_type=MySQL则输出MySQL信息,大概是这样的信息。
@api_view(['GET', 'POST' ])
@permission_classes((permissions.IsAuthenticated,))
def cmdb_server_list(request,format=None):
"""
List all order, or create a server assets order.
"""
if request.method == 'GET':
db_type = request.GET.get("db_type")
if db_type != None:
snippets = Cmdb_server.objects.filter(server_status=1).filter(server_db_type=db_type)
serializer = Cmdb_serverSerializer(snippets, many=True)
else:
snippets = Cmdb_server.objects.filter(server_status=1)[0:10]
serializer = Cmdb_serverSerializer(snippets, many=True)
return Response(serializer.data)
elif request.method == 'POST':
serializer = Cmdb_serverSerializer(data=request.data)
if serializer.is_valid():
serializer.save()
return Response(serializer.data, status=status.HTTP_201_CREATED)
return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)
到了这里,其实cmdb_api和token_api还没有关联起来,调用的方式我们可以直接使用rest_framework来得到,当然这个是页面层面的信息,要得到更加正式的信息,我们需要使用requests,即独立客户端的调用方式,我们使用了requests的方式调用gettoken得到token_api.gettoken的结果,getresponse是一个相对通用的方法,可以传入url得到返回数据。
import requests
import json
def gettoken(username,password):
data = {'username': username, 'password': password}
print(data)
s = requests.post('http://xxxxx:8000/api/api-token-auth/', data, verify=False)
print(s.text)
token = eval(s.text).get('token')
return token
def getresponse(url, token):
headers = {"Authorization": "Token %s" % token}
ss = requests.Session()
r = ss.get(url, headers=headers, verify=False)
res = json.loads(r.text)
return res
token = gettoken('xxxx', 'xxxxx')
print(token)
rs = getresponse('http://xxxxx:8000/api/cmdb_list/',token)
print(rs)
我们模拟测试的话,可以使用python api.py的方式,得到的数据是这样的形式:
# python api.py
{"token": "2565018fb332f20f2885923a0e2313b3b769e7d9"}
2565018fb332f20f2885923a0e2313b3b769e7d9
[{u'update_date': None, u'create_date': u'2018-02-01T17:29:32', u'server_status': u'1', u'server_db_role': u'Master', u'server_db_type': u'MySQL', u'server_ip_addr': u'xxxxxxxxxxx', u'id': 168}, {u'update_date': None, u'create_date': u'2018-02-01T17:29:32', u'server_status': u'1', u'server_db_role': u'Master', u'server_db_type': u'MySQL', u'server_ip_addr': u'xxxxxxxxxxxxx', u'id': 169}...
到了这里,你就可以独立的调用RESTful接口,使用token认证得到数据。