1.前言
最近在做微信公眾號開發在進行網頁授權時,微信需要用戶自己在授權url中帶上一個類似token的state的參數,以防止跨站攻擊。
在經過再三思考之后,自己試着實現一個產生token和驗證token的方案。接下就把code貼出來。希望讀者指導一下。
2.產生token
原理:
通過hmac sha1 算法產生用戶給定的key和token的最大過期時間戳的一個消息摘要,
將這個消息摘要和最大過期時間戳通過":"拼接起來,再進行base64編碼,生成最終的token
實現:
import time import base64 import hmac def generate_token(key, expire=60): """ @Args: key: str (用戶給定的key,需要用戶保存以便之后驗證token,每次產生token時的key 都可以是同一個key) expire: int(最大有效時間,單位為s) @Return: state: str :param key: :param expire: :return: """ ts_str = str(time.time() + expire) ts_byte = ts_str.encode("utf-8") sha1_tshex_str = hmac.new(key.encode("utf-8"), ts_byte, 'sha1').hexdigest() token = ts_str+':'+sha1_tshex_str b64_token = base64.urlsafe_b64encode(token.encode("utf-8")) return b64_token.decode("utf-8")
3.驗證token
原理:
將token進行base64解碼,通過token得到token最大過期時間戳和消息摘要。判斷token是否過期。
如沒過期才將 從token中的取得最大過期時間戳進行hmac sha1 算法運算(注意這里的key要與產生token的key要相同),
最后將產生的摘要與通過token取得消息摘要進行對比, 如果兩個摘要相等,則token有效,否則token無效 。
實現:
import time import base64 import hmac def certify_token(key, token): """ @Args: key: str token: str @Returns: boolean :param key: :param token: :return: """ token_str = base64.urlsafe_b64decode(token).decode('utf-8') token_list = token_str.split(':') if len(token_list) != 2: return False ts_str = token_list[0] if float(ts_str) < time.time(): return False known_sha1_tsstr = token_list[1] sha1 = hmac.new(key.encode("utf-8"), ts_str.encode('utf-8'), 'sha1') calc_sha1_tsstr = sha1.hexdigest() if calc_sha1_tsstr != known_sha1_tsstr: # token certification failed return False # token certification success return True
4.用法
key = "ZGFiMjlk=ODY6NTliMz" # 一小時后過期 token = generate_token(key, 3600) print(certify_token(key, token))
5.注意!!!
本代碼只能在python3.x 中運行