接口鉴权

目录

• 双层鉴权是什么？
• 目前我们常用的鉴权有四种：
• HTTP Basic Authentication
• session-cookie
• Token 验证
• OAuth(开放授权)

 

---

回到顶部

双层鉴权是什么？

一是用户鉴权：网络对用户进行鉴权，防止非法用户占用网络资源。
二是网络鉴权：用户对网络进行鉴权，防止用户接入了非法的网络，被骗取关键信息。
这种双向的认证机制，就是AKA鉴权。另外还需要加密钥，这就是sk。

回到顶部

目前我们常用的鉴权有四种：

• HTTP Basic Authentication
• session-cookie
• Token 验证
• OAuth(开放授权)

回到顶部

HTTP Basic Authentication

最简单的HTTP Basic Authentication，这种方式在客户端会弹出一个登录窗口，由用户输入用户名和密码进行登录，但是这种方式使用基本的Base64方式加密，账号很容易泄露出去，现在很少人使用了。这种验证方法反应了人们对信息私有化的需求，这是电脑从局域网走向互联网以后产生的需求。 参考代码：

回到顶部

session-cookie

单点登录，是使用session、cookie这种机制。
这种方式里session是在服务器端创建的，可以存在内存里，也可以存在持久化到数据库里面，而cookie是存在用户浏览器里的sessionId，sessionId一经创建，就在后面的每次的HTTP请求里面，都会带着请求头当中，服务器就是靠这种标识来区别客户端是哪一个。这种验证方式以及加密算法的出现，它反映了在公开的互联网上，人们对隐私对信息保密的重视，这个时期单点登录的出现，标志着互联网向分布式发展，开始出现了海量用户产品，比如QQ、微信、Facebook等等。

单点登录（SSO，Single Sign On），是在企业内部多个应用系统（如考勤系统、财务系统、人事系统等）场景下，用户只需要登录一次，就可以访问多个应用系统。(实现原理共享token)
参考代码：

import requests
import json
session=requests.Session()#实例化一个会话对象
url='https://v4.ketangpai.com/UserApi/login'
#data为请求参数，旧版本的课堂派Content-Type：application/x-www-from-urlencode，表单类型
data ={
    "email": "XXXXXXXXXx",#账号
    "password": "XXXXXXXXXXXXXx!",#密码
    "remember": 0
}
resp=session.post(url,data =data )#返回一个response对象
print(resp.text)#输出响应json
a=resp.text
j = json.loads(a)#json.loads()用于将str类型的数据转成dict。
json_dicts = json.dumps(j,indent=4,ensure_ascii=False)
print(json_dicts)
"""
    登录成功后，由于session会自动带上cookie，所以无需加上cookie
"""
"""
    访问isvip接口，判断登录用户是否为vip
    这是一个get方法，没有参数
"""
isvip_url='https://v4.ketangpai.com/VipApi/isVip'
resp_isvip=session.get(isvip_url)
print(resp_isvip.json())

回到顶部

Token 验证

Token验证，在这里Token是令牌的意思。
这种验证是在App兴起以后发展起来的，因为在App里它没有浏览器环境没有cookie，那么客户端在进行了权限验证以后，就把登录凭证（Token）直接存在了客户端里面，并且在每次请求服务器的时候都把它给带上。最常用的Token的验证方式是JWT,他是Json Web Token的缩写，这种验证方式它代表了移动互联网的崛起。
具体来说，Token在客户端和服务器端共发生了6次交互，
第一步：客户端使用用户名和密码请求登录；
第二步：服务器收到请求以后去验证用户名和密码；
第三步：验证成功以后，服务器会签发一个Token，再把Token发送给客户端；
第四步：客户端收到Token以后把它给存储起来，例如放在Cookie里面或者Local Storage里面，或者是内存里面，
第五步：客户端每次向服务器请求资源的时候，都需要带着这个服务器刚刚签发的Token，这个Token一般是有时效性的，如果超时了还需要重新去获取；
第六步：服务端收到请求，然后去验证客户端送来的Token，验证成功就向客户端返回数据。

回到顶部

OAuth(开放授权)

OAuth验证，比如使用微信账号登录其他的app。
这种方式在今天是非常常见的，我们经常看到一些网站登录的时候，可以使用QQ或者是微信账号登录，这种登录方式本身就是OAuth验证，还有我们在小程序里面使用微信一键登录的时候，也是这种方式。这种方式我们先向鉴权服务器请求，拿到了一个code，这个code代表的是用户的许可，然后再以这个code，加上开发者自己的AppID和appSecret，再请求鉴权服务器拿到一个success token，这个才是真正的Token代表的是服务器的许可，有了这个Token才可以把加密的用户信息给解密出来，这种方式它代表了大平台作为基础账号存在已变成了一种事实，像QQ、微信、Facebook等等。
参考代码：

import requests
#登录，拿到token。
url='https://openapiv5.ketangpai.com//UserApi/login'
data={
    "email":"13550457423",
    "password":"zx001204",
    "remember":"0",
    "code":"",
    "mobile":"",
    "type":"login",
    "reqtimestamp":1648015981746
}
resp=requests.post(url,json=data)#这里是post方法，请求体为json
resp_dict=resp.json()
print(resp_dict)
token=resp_dict['data']['token']#拿到token
print(token)
"""
    拿到token后，调用getUserBasinInfo接口
    getUserBasinInfo为post方法
"""
getUserBasinInfo_url='https://openapiv5.ketangpai.com//UserApi/getUserBasinInfo'
getUserBasinInfo_data={"reqtimestamp":1648015982590}#请求体
getUserBasinInfo_header={'token':token}#需要加到请求头的数据
getUserBasinInfo_resp=requests.post(getUserBasinInfo_url,json=getUserBasinInfo_data,headers=getUserBasinInfo_header)
print(getUserBasinInfo_resp.json())