Django API驗證（令牌）

1. 獲取接口信息

Client端

import requests
import time
import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'
new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()
m.update(bytes(new_key, encoding='utf-8'))
md5_key = m.hexdigest()
md5_key_key = "%s|%s" % (md5_key, ctime)
print(md5_key_key)
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

2. 驗證令牌信息

Server端

import hashlib
import time
from django.shortcuts import render,HttpResponse
from django.conf import settings
api_key_record = {}

def asset(request):
    client_md5_time_key =request.META.get('HTTP_OPENKEY')
    client_md5_key,client_ctime = client_md5_time_key.split('|')

    client_ctime = float(client_ctime)
    server_time = time.time()

    # 第一關：時間關 10s內訪問

    if server_time - client_ctime >10:
        return HttpResponse('[第一關] 訪問時間超時！')

    # 第二關：規則關 防止修改時間
    temp = "%s|%s"%(settings.AUTH_KEY,client_ctime,)
    m = hashlib.md5()
    m.update(bytes(temp,encoding='utf-8'))
    server_md5_key = m.hexdigest()
    if server_md5_key != client_md5_key:
        return HttpResponse('[第二關] 規則不正確')

    for k in list(api_key_record.keys()):
        v = api_key_record[k]
        if server_time > v:
            del api_key_record[k]

    # 第三關
    if client_md5_time_key in api_key_record:
        return HttpResponse('[第三關] 令牌已使用過')
    else:
        api_key_record[client_md5_time_key] = client_ctime +10

    if request.method == "GET":
        return HttpResponse('GET: 獲取重要數據')
    elif request.method == "POST":
        return HttpResponse('POST')

3. 模擬請求

正常請求：nomary GET請求

import requests
import time
import hashlib

ctime = time.time()

key = 'akfljakfjaklfjaklfj22222324290482'
new_key = "%s|%s" % (key, ctime)

m = hashlib.md5()
m.update(bytes(new_key, encoding='utf-8'))
md5_key = m.hexdigest()
md5_key_key = "%s|%s" % (md5_key, ctime)
print(md5_key_key)
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

正常請求結果

f8012ba778903e8dd1185173ed33b0b8|1550306560.9089868
GET: 獲取重要數據

駭客攻擊請求

hack請求

import requests

md5_key_key = '5e287e46a67ec778df70d27e7a5b8d6e|1550306579.3672032'
response = requests.get("http://127.0.0.1:8001/api/asset.html", headers={'OpenKey':md5_key_key})
print(response.text)

hack請求結果

[第三關] 令牌已使用過

 總結：

第一關：時間關  客戶端的時間和服務端的時間進行比較  10s內是正常訪問 超過10s則爲超時訪問
                if server_time - client_ctime > 10:
                    return HttpResponse('[第一關] 訪問時間超時！')

第二關：規則關 防止修改時間 服務端把服務期設置的key和客戶端發來的時間進行md5加密 而後再和客戶端發來的動態令牌進行比較是否一致

第三關：過時令牌刪除
    1、判斷客戶端的令牌是否在api記錄裏
    2、若是在表示已使用再也不被使用
    三、若是不在將令牌做爲key 客戶端時間+10做爲value放在api記錄裏
    4、這樣每次在判斷令牌是否在記錄表中的時候，先遍歷記錄表進行比較
    比較當前的服務時間是否大於客戶端+10s的時間key，若是大於則已過時直接刪除，不然不作處理
    五、固然若是用redis的話，這部操做不用關心，redis key 5s  key後面指定時間redis會自動刪除