目录
在本文中,我们将从Python Web开发人员的角度看处理Web身份验证的最常用方法。
虽然代码示例和资源适用于 Python 开发人员,但每种身份验证方法的实际说明适用于所有 Web 开发人员。
身份验证是验证尝试访问受限系统的用户或设备的凭据的过程。同时,授权是验证是否允许用户或设备在给定系统上执行某些任务的过程。
简单地说:
身份验证先于授权。也就是说,用户必须保持有效,然后才能根据其授权级别授予对资源的访问权限。对用户进行身份验证的最常见方法是 via 和 。一旦通过身份验证,就会为它们分配不同的角色(如 、等),从而向它们授予对系统的特殊权限。usernamepasswordadminmoderator
有了这个,让我们看一下用于对用户进行身份验证的不同方法。
内置于 HTTP 协议中的基本身份验证是最基本的身份验证形式。有了它,登录凭据将随每个请求一起发送到请求标头中:
"Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=" your-website.com
用户名和密码未加密。相反,用户名和密码使用符号连接在一起以形成单个字符串:。然后使用 base64 对此字符串进行编码。:username:password
>>> import base64
>>>
>>> auth = "username:password"
>>> auth_bytes = auth.encode('ascii') # convert to bytes
>>> auth_bytes
b'username:password'
>>>
>>> encoded = base64.b64encode(auth_bytes) # base64 encode
>>> encoded
b'dXNlcm5hbWU6cGFzc3dvcmQ='
>>> base64.b64decode(encoded) # base64 decode
b'username:password'
此方法是无状态的,因此客户端必须为每个请求提供凭据。它适用于 API 调用以及不需要持久会话的简单身份验证工作流。
WWW-AuthenticateBasic
WWW-Authenticate: Basic
Authorization: Basic dcdvcmQ=
基本的HTTP身份验证可以使用Flask-HTTP包在Flask中轻松完成。
from flask import Flask
from flask_httpauth import HTTPBasicAuth
from werkzeug.security import generate_password_hash, check_password_hash
app = Flask(__name__)
auth = HTTPBasicAuth()
users = {
"username": generate_password_hash("password"),
}
@auth.verify_password
def verify_password(username, password):
if username in users and check_password_hash(users.get("username"), password):
return username
@app.route("/")
@auth.login_required
def index():
return f"You have successfully logged in, {auth.current_user()}"
if __name__ == "__main__":
app.run()
HTTP 摘要式身份验证(或摘要式访问身份验证)是 HTTP 基本身份验证的一种更安全的形式。主要区别在于密码以MD5散列形式发送,而不是以纯文本形式发送,因此它比基本身份验证更安全。
WWW-AuthenticateDigestWWW-Authenticate: Digest nonce="44f0437004157342f50f935906ad46fc"
WWW-Authenticate: Basic
Authorization: Digest username="username", nonce="16e30069e45a7f47b4e2606aeeb7ab62", response="89549b93e13d438cd0946c6d93321c52"
Flask-HTTP 包也支持摘要式 HTTP 身份验证。
from flask import Flask
from flask_httpauth import HTTPDigestAuth
app = Flask(__name__)
app.config["SECRET_KEY"] = "change me"
auth = HTTPDigestAuth()
users = {
"username": "password"
}
@auth.get_password
def get_user(username):
if username in users:
return users.get(username)
@app.route("/")
@auth.login_required
def index():
return f"You have successfully logged in, {auth.current_user()}"
if __name__ == "__main__":
app.run()
使用基于会话的身份验证(或会话 Cookie 身份验证或基于 Cookie 的身份验证),用户的状态存储在服务器上。它不要求用户在每个请求中提供用户名或密码。相反,在登录后,服务器将验证凭据。如果有效,它将生成一个会话,将其存储在会话存储中,然后将会话 ID 发送回浏览器。浏览器将会话ID存储为cookie,每当向服务器发出请求时,就会发送该cookie。
基于会话的身份验证是有状态的。每次客户端请求服务器时,服务器都必须在内存中找到会话,以便将会话 ID 绑定回关联的用户。
Flask-Login非常适合基于会话的身份验证。该软件包负责登录,注销,并且可以记住用户一段时间。
from flask import Flask, request
from flask_login import (
LoginManager,
UserMixin,
current_user,
login_required,
login_user,
)
from werkzeug.security import generate_password_hash, check_password_hash
app = Flask(__name__)
app.config.update(
SECRET_KEY="change_this_key",
)
login_manager = LoginManager()
login_manager.init_app(app)
users = {
"username": generate_password_hash("password"),
}
class User(UserMixin):
...
@login_manager.user_loader
def user_loader(username: str):
if username in users:
user_model = User()
user_model.id = username
return user_model
return None
@app.route("/login", methods=["POST"])
def login_page():
data = request.get_json()
username = data.get("username")
password = data.get("password")
if username in users:
if check_password_hash(users.get(username), password):
user_model = User()
user_model.id = username
login_user(user_model)
else:
return "Wrong credentials"
return "logged in"
@app.route("/")
@login_required
def protected():
return f"Current user: {current_user.id}"
if __name__ == "__main__":
app.run()
此方法使用令牌(而不是 Cookie)对用户进行身份验证。用户使用有效凭据进行身份验证,服务器返回签名令牌。此令牌可用于后续请求。
最常用的令牌是 JSON Web 令牌 (JWT)。JWT由三部分组成:
这三种都是 base64 编码的,并使用 a 和散列进行串联。由于它们是编码的,因此任何人都可以解码和读取消息。但只有真实用户才能生成有效的签名令牌。令牌使用签名进行身份验证,签名是使用私钥签名的。.
JSON Web 令牌 (JWT) 是一种紧凑的 URL 安全方法,用于表示要在双方之间传输的声明。JWT 中的声明被编码为 JSON 对象,该对象用作 JSON Web 签名 (JWS) 结构的有效负载或 JSON Web 加密 (JWE) 结构的明文,从而使声明能够使用消息身份验证代码 (MAC) 进行数字签名或完整性保护和/或加密。- IETF
令牌不需要保存在服务器端。只需使用其签名即可对其进行验证。最近,由于RESTful API和单页应用程序(SPA)的兴起,令牌采用率有所增加。
Flask-JWT扩展包为处理JWT提供了许多可能性。
from flask import Flask, request, jsonify
from flask_jwt_extended import (
JWTManager,
jwt_required,
create_access_token,
get_jwt_identity,
)
from werkzeug.security import check_password_hash, generate_password_hash
app = Flask(__name__)
app.config.update(
JWT_SECRET_KEY="please_change_this",
)
jwt = JWTManager(app)
users = {
"username": generate_password_hash("password"),
}
@app.route("/login", methods=["POST"])
def login_page():
username = request.json.get("username")
password = request.json.get("password")
if username in users:
if check_password_hash(users.get(username), password):
access_token = create_access_token(identity=username)
return jsonify(access_token=access_token), 200
return "Wrong credentials", 400
@app.route("/")
@jwt_required
def protected():
return jsonify(logged_in_as=get_jwt_identity()), 200
if __name__ == "__main__":
app.run()
一次性密码 (OTP) 通常用作身份验证的确认。OTP是随机生成的代码,可用于验证用户是否是他们声称的身份。它通常在用户凭据验证后用于利用双重身份验证的应用。
要使用 OTP,必须存在受信任的系统。此受信任的系统可以是经过验证的电子邮件或手机号码。
现代OTP是无国籍的。可以使用多种方法验证它们。虽然有几种不同类型的OTP,但基于时间的OTP(TOTP)可以说是最常见的类型。生成后,它们将在一段时间后过期。
由于您可以获得额外的安全层,因此建议将OTP用于涉及高度敏感数据的应用程序,例如网上银行和其他金融服务。
实施OTP的传统方式:
TOTP的工作原理:
GOOGLE Authenticator、Microsoft Authenticator 和 FreeOTP 等 OTP 代理的工作原理:
PyOTP 软件包提供基于时间和基于计数器的 OTP。
from time import sleep
import pyotp
if __name__ == "__main__":
otp = pyotp.TOTP(pyotp.random_base32())
code = otp.now()
print(f"OTP generated: {code}")
print(f"Verify OTP: {otp.verify(code)}")
sleep(30)
print(f"Verify after 30s: {otp.verify(code)}")
例:
OTP generated: 474771
Verify OTP: True
Verify after 30s: False
OAuth/OAuth2 和 OpenID 分别是授权和身份验证的流行形式。它们用于实现社交登录,这是一种单点登录(SSO)形式,使用来自社交网络服务(如Facebook,Twitter或Google)的现有信息登录到第三方网站,而不是专门为该网站创建新的登录帐户。
当您需要进行高度安全的身份验证时,可以使用此类型的身份验证和授权。其中一些提供商拥有足够的资源来投资身份验证本身。利用这种久经考验的身份验证系统最终可以使您的应用程序更加安全。
此方法通常与基于会话的身份验证结合使用。
您访问的网站需要您登录。您导航到登录页面,并看到一个名为“使用Google登录”的按钮。您点击该按钮,它会将您带到Google登录页面。通过身份验证后,系统会将您重定向回自动登录的网站。这是使用 OpenID 进行身份验证的示例。它允许您使用现有帐户(通过OpenID提供程序)进行身份验证,而无需创建新帐户。
最著名的OpenID提供商是Google,Facebook,Twitter和GitHub。
登录后,您可以导航到网站内的下载服务,该服务可让您将大文件直接下载到Google云端硬盘。网站如何访问您的 Google 云端硬盘?这就是OAuth发挥作用的地方。您可以授予访问其他网站上的资源的权限。在这种情况下,请以写入权限访问 Google 云端硬盘。
想要实施社交登录?
想要运行自己的 OAuth 或 OpenID 服务?
您可以使用 Flask-Dance 实现 GitHub 社交身份验证。
from flask import Flask, url_for, redirect
from flask_dance.contrib.github import make_github_blueprint, github
app = Flask(__name__)
app.secret_key = "change me"
app.config["GITHUB_OAUTH_CLIENT_ID"] = "1aaf1bf583d5e425dc8b"
app.config["GITHUB_OAUTH_CLIENT_SECRET"] = "dee0c5bc7e0acfb71791b21ca459c008be992d7c"
github_blueprint = make_github_blueprint()
app.register_blueprint(github_blueprint, url_prefix="/login")
@app.route("/")
def index():
if not github.authorized:
return redirect(url_for("github.login"))
resp = github.get("/user")
assert resp.ok
return f"You have successfully logged in, {resp.json()['login']}"
if __name__ == "__main__":
app.run()
在本文中,我们研究了许多不同的Web身份验证方法,所有这些方法都有自己的优点和缺点。
什么时候应该使用它们?这要视情况而定。基本经验法则:
最后,请记住,显示的示例只是触及表面。生产使用需要进一步的配置。