fastadmin token 验证错误_用签名保护你的隐私（4）--token生成

Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证，服务端认证成功，那么在服务端会返回 Token 给前端。前端以后再次请求的时候带上 Token 证明自己的合法地位，无需再次带上用户名和密码。其流程如图1所示。

图1 token认证过程

基本流程是这样的：

客户端使用用户名跟密码请求登录
服务端收到请求，去验证用户名与密码
验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端
客户端收到Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的Token
服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

一、token的优势

1.无状态

Token机制在服务端不需要存储session信息，因为Token 自身包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息。

2.安全性

　　请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token，cookie也仅仅是一个存储机制而不是用于认证。

3.更适用于移动应用

当你的客户端是一个原生平台（iOS, Android，Windows 8等）时，Cookie是不被支持的（你需要通过Cookie容器进行处理），这时采用Token认证机制就会简单得多。

4.多平台跨域

　　我们提前先来谈论一下CORS(跨域资源共享)，对应用程序和服务进行扩展的时候，需要介入各种各种的设备和应用程序。只要用户有一个通过了验证的token，数据和资源就能够在任何域上被请求到。

5.基于标准
　　你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）。

二、token生成

在python中，我们可以使用itsdangerous模块生成token，并且可以设置时限，不用在服务器端保存用户登录数据。

from itsdangerous import SignatureExpired,  BadData, BadSignature
from itsdangerous.url_safe import URLSafeTimedSerializerclass TokenException(Exception):def __init__(self,obj):super().__init__()self.status = {}if isinstance(obj,SignatureExpired):self.status['code'] = -1self.status['msg'] = "签名过期"elif isinstance(obj,BadSignature):self.status['code'] = -2self.status['msg'] = "签名失效"elif isinstance(obj,BadData):self.status['code'] = -3self.status['msg'] = "数据异常"@propertydef code(self):return self.status['code']@propertydef message(self):return self.status['msg']def __str__(self):return self.status['msg']class TokenManager:def __init__(self,secret_key,salt='hello world'):"""secret_key 加密密钥"""self.secret_key = secret_keyself.salt = saltdef generate_token(self,playload):""":param playload: 负载，也就是你要序列化的数据，不要用关键数据（如密码等）做playload:return: token字符串"""serializer = URLSafeTimedSerializer(self.secret_key, self.salt)return serializer.dumps(playload)def confirm_token(self,token,expired=3600):"""验证token:param token: generate_validate_token产生的字符串:param expired: 过期时间，以秒为单位:return: 成功返回负载数据，失败返回错误码"""serializer = URLSafeTimedSerializer(self.secret_key, self.salt)try:data = serializer.loads(token,max_age=expired)except BadData as e:return TokenException(e)# 签名验证通过，返回原始数据return dataif __name__ == '__main__':tm = TokenManager('kdkdk',salt="hello")# 获取签名数据uid = 10token = tm.generate_token(uid)print(token)# 验证,默认是1个小时# data = tm.confirm_token(token)# print(data)# 签名失效token = token + 'dd'data = tm.confirm_token(token)print(data,type(data))