1.前言
最近在做微信公眾號開發在進行網頁授權時,微信需要用戶自己在授權url中帶上一個類似token的state的參數,以防止跨站攻擊。
在經過再三思考之后,自己試着實現一個產生token和驗證token的方案。接下就把code貼出來。希望讀者指導一下。
2.產生token
原理:
通過hmac sha1 算法產生用戶給定的key和token的最大過期時間戳的一個消息摘要,
將這個消息摘要和最大過期時間戳通過":"拼接起來,再進行base64編碼,生成最終的token
實現:
import time
import base64
import hmac
def generate_token(key, expire=3600):
r'''
@Args:
key: str (用戶給定的key,需要用戶保存以便之后驗證token,每次產生token時的key 都可以是同一個key)
expire: int(最大有效時間,單位為s)
@Return:
state: str
'''
ts_str = str(time.time() + expire)
ts_byte = ts_str.encode("utf-8")
sha1_tshexstr = hmac.new(key.encode("utf-8"),ts_byte,'sha1').hexdigest()
token = ts_str+':'+sha1_tshexstr
b64_token = base64.urlsafe_b64encode(token.encode("utf-8"))
return b64_token.decode("utf-8")
3.驗證token
原理:
將token進行base64解碼,通過token得到token最大過期時間戳和消息摘要。判斷token是否過期。
如沒過期才將 從token中的取得最大過期時間戳進行hmac sha1 算法運算(注意這里的key要與產生token的key要相同),
最后將產生的摘要與通過token取得消息摘要進行對比, 如果兩個摘要相等,則token有效,否則token無效 。
實現:
import time
import base64
import hmac
def certify_token(key, token):
r'''
@Args:
key: str
token: str
@Returns:
boolean
'''
token_str = base64.urlsafe_b64decode(state).decode('utf-8')
token_list = token_str.split(':')
if len(token_list) != 2:
return False
ts_str = token_list[0]
if float(ts_str) < time.time():
# token expired
return False
known_sha1_tsstr = token_list[1]
sha1 = hmac.new(key.encode("utf-8"),ts_str.encode('utf-8'),'sha1')
calc_sha1_tsstr = sha1.hexdigest()
if calc_sha1_tsstr != known_sha1_tsstr:
# token certification failed
return False
# token certification success
return True
4.用法
key = "JD98Dskw=23njQndW9D"
# 一小時后過期
token = generate_token(key, 3600)
certify_token(key, token)
5.Note!!!
本代碼只能在python3.x 中運行,