百度360必应搜狗淘宝本站头条
mqtt服务器xftp6vscode使用技巧mybatiscollectionkeyerror
当前位置:网站首页 > 热门文章 > 正文

运维平台中RESTful的Token认证

bigegpt 2024-09-20 13:54 4 浏览

在近期要做的RESTful服务API化的过程中,对于开放的API还是需要考虑基本的安全认证的,如果API能够随便被调用,可能对于功能来说是畅通的,如果调用模式固定了之后,再加上更强的安全机制,对于已有的业务流程都需要做加固,与其等到后来怨声载道,还不如提前安排,况且这个代价也不大。

我看了下网上的很多文章,似乎要想完整的调试通,中间总是会碰到一些额外的问题,今天在同事的帮助下把这个基本的功能先搞定了。

我们使用Django中的restframework来进行说明。

首先需要在Django的settings.py文件中配置rest_framework还有token

INSTALLED_APPS = (

'django.contrib.admin',

'django.contrib.auth',

'django.contrib.contenttypes',

'django.contrib.sessions',

'django.contrib.messages',

'django.contrib.staticfiles',

'OpsManage',

'rest_framework',

'djcelery',

'rest_framework.authtoken',

)

还需要配置下rest_framework的认证,加上token认证的class.

REST_FRAMEWORK = {

'DEFAULT_PERMISSION_CLASSES': [

'rest_framework.permissions.IsAdminUser',

],

'DEFAULT_AUTHENTICATION_CLASSES': [

'rest_framework.authentication.TokenAuthentication',

],

'PAGINATE_BY': 10

}

配置完之后,我们就可以生成token的model了。

使用 python manage.py makemigrations来检测model的变化

使用python manage.py migrate来做ORM映射,生成相应的表结构。

生成的关键SQL是:

CREATE TABLE `authtoken_token` (`key` varchar(40) NOT NULL PRIMARY KEY, `created` datetime(6) NOT NULL, `user_id` integer NOT NULL UNIQUE);

ALTER TABLE `authtoken_token` ADD CONSTRAINT `authtoken_token_user_id_1d10c57f535fb363_fk_auth_user_id` FOREIGN KEY (`user_id`) REFERENCES `auth_user` (`id`);

。。。

我们调用ORM API来调用Token信息

>>> from rest_framework.authtoken.models import Token

>>> Token.objects.all()

(0.000) SET SQL_AUTO_IS_NULL = 0; args=None

(0.001) SELECT `authtoken_token`.`key`, `authtoken_token`.`user_id`, `authtoken_token`.`created` FROM `authtoken_token` LIMIT 21; args=()

[]

可以看到里面的没有数据的,我们需要生成一些Token信息。

>>> from django.contrib.auth.models import User

>>> for user in User.objects.all():

... Token.objects.create(user=user)

这个过程会向Token的表中写入数据,即给每个用户生成相应的token

(0.000) INSERT INTO `authtoken_token` (`key`, `user_id`, `created`) VALUES ('2565018fb332f20f2885923a0e2313b3b769e7d9', 1, '2018-06-10 08:32:54.178471'); args=(u'2565018fb332f20f2885923a0e2313b3b769e7d9', 1, u'2018-06-10 08:32:54.178471')

<Token: 2565018fb332f20f2885923a0e2313b3b769e7d9>

我们后续调用的时候可以使用类似的方式来得到Token,当然这个过程是在view层来得到。

>>> Token.objects.get(user=1)

(0.000) SELECT `authtoken_token`.`key`, `authtoken_token`.`user_id`, `authtoken_token`.`created` FROM `authtoken_token` WHERE `authtoken_token`.`user_id` = 1; args=(1,)

<Token: 2565018fb332f20f2885923a0e2313b3b769e7d9>

如果后续要得到新的Token信息,可以参考如下的方式来变更。

token_key = hashlib.sha1(os.urandom(24)).hexdigest()

Token.objects.filter(user_id=request.user.id).update(key=token_key)

至少目前来说,我们可以先略过,因为我们起码的保证Token的API可以调用。

所以现在的优先目标是功能的调用,我们配置两个url,一个是api-token-auth这个是调用token的验证逻辑,第二个是我们新写的一个cmdb的调用api,这个部分可以根据你的需求来自行定制,哪怕你自己只是输出一个helloworld也行。

urls.py里面的配置如下:

url(r'^api/api-token-auth/', Token_api.gettoken),

url(r'^api/cmdb_list/

, cmdb_api.cmdb_server_list),

我们来写一个新的view Token_api,内容如下:

from OpsManage.models import *

from django.contrib import auth

from django.http import HttpResponse, JsonResponsefrom django.views.decorators.csrf import csrf_exempt

from rest_framework.authtoken.models import Token

from django.utils.datastructures import SortedDict

@csrf_exempt

# @api_view(['POST'])

def gettoken(request):

if request.method == 'POST':

username = request.POST.get('username', '')

password = request.POST.get('password', '')

user = auth.authenticate(username=username, password=password)

if user is not None:

auth.login(request, user)

token = Token.objects.get(user=User.objects.get(username=username)).key

return JsonResponse({'token': token}, safe=True)

else:

return JsonResponse({'error': 'valid username or password'})

else:

return JsonResponse({'error': 'No GET Method!'})

然后写一个cmdb_api.py,内容如下,这个逻辑是根据输入的参数来得到相应的数据库信息列表,比如输入db_type=MySQL则输出MySQL信息,大概是这样的信息。

@api_view(['GET', 'POST' ])

@permission_classes((permissions.IsAuthenticated,))

def cmdb_server_list(request,format=None):

"""

List all order, or create a server assets order.

"""

if request.method == 'GET':

db_type = request.GET.get("db_type")

if db_type != None:

snippets = Cmdb_server.objects.filter(server_status=1).filter(server_db_type=db_type)

serializer = Cmdb_serverSerializer(snippets, many=True)

else:

snippets = Cmdb_server.objects.filter(server_status=1)[0:10]

serializer = Cmdb_serverSerializer(snippets, many=True)

return Response(serializer.data)

elif request.method == 'POST':

serializer = Cmdb_serverSerializer(data=request.data)

if serializer.is_valid():

serializer.save()

return Response(serializer.data, status=status.HTTP_201_CREATED)

return Response(serializer.errors, status=status.HTTP_400_BAD_REQUEST)

到了这里,其实cmdb_api和token_api还没有关联起来,调用的方式我们可以直接使用rest_framework来得到,当然这个是页面层面的信息,要得到更加正式的信息,我们需要使用requests,即独立客户端的调用方式,我们使用了requests的方式调用gettoken得到token_api.gettoken的结果,getresponse是一个相对通用的方法,可以传入url得到返回数据。

import requests

import json

def gettoken(username,password):

data = {'username': username, 'password': password}

print(data)

s = requests.post('http://xxxxx:8000/api/api-token-auth/', data, verify=False)

print(s.text)

token = eval(s.text).get('token')

return token

def getresponse(url, token):

headers = {"Authorization": "Token %s" % token}

ss = requests.Session()

r = ss.get(url, headers=headers, verify=False)

res = json.loads(r.text)

return res

token = gettoken('xxxx', 'xxxxx')

print(token)

rs = getresponse('http://xxxxx:8000/api/cmdb_list/',token)

print(rs)

我们模拟测试的话,可以使用python api.py的方式,得到的数据是这样的形式:

# python api.py

{"token": "2565018fb332f20f2885923a0e2313b3b769e7d9"}

2565018fb332f20f2885923a0e2313b3b769e7d9

[{u'update_date': None, u'create_date': u'2018-02-01T17:29:32', u'server_status': u'1', u'server_db_role': u'Master', u'server_db_type': u'MySQL', u'server_ip_addr': u'xxxxxxxxxxx', u'id': 168}, {u'update_date': None, u'create_date': u'2018-02-01T17:29:32', u'server_status': u'1', u'server_db_role': u'Master', u'server_db_type': u'MySQL', u'server_ip_addr': u'xxxxxxxxxxxxx', u'id': 169}...

到了这里,你就可以独立的调用RESTful接口,使用token认证得到数据。

相关推荐

方差分析简介(方差分析通俗理解)

介绍方差分析(ANOVA,AnalysisofVariance)是一种广泛使用的统计方法,用于比较两个或多个组之间的均值。单因素方差分析是方差分析的一种变体,旨在检测三个或更多分类组的均值是否存在...

正如404页面所预示,猴子正成为断网元凶--吧嗒吧嗒真好吃

吧嗒吧嗒,绘图:MakiNaro你可以通过加热、冰冻、水淹、模塑、甚至压溃压力来使网络光缆硬化。但用猴子显然是不行的。光缆那新挤压成型的塑料外皮太尼玛诱人了,无法阻挡一场试吃盛宴的举行。印度政府正...

Python数据可视化:箱线图多种库画法

概念箱线图通过数据的四分位数来展示数据的分布情况。例如:数据的中心位置,数据间的离散程度,是否有异常值等。把数据从小到大进行排列并等分成四份,第一分位数(Q1),第二分位数(Q2)和第三分位数(Q3)...

多组独立(完全随机设计)样本秩和检验的SPSS操作教程及结果解读

作者/风仕在上一期,我们已经讲完了两组独立样本秩和检验的SPSS操作教程及结果解读,这期开始讲多组独立样本秩和检验,我们主要从多组独立样本秩和检验介绍、两组独立样本秩和检验使用条件及案例的SPSS操作...

方差分析 in R语言 and Excel(方差分析r语言例题)

今天来写一篇实际中比较实用的分析方法,方差分析。通过方差分析,我们可以确定组别之间的差异是否超出了由于随机因素引起的差异范围。方差分析分为单因素方差分析和多因素方差分析,这一篇先介绍一下单因素方差分析...

可视化:前端数据可视化插件大盘点 图表/图谱/地图/关系图

前端数据可视化插件大盘点图表/图谱/地图/关系图全有在大数据时代,很多时候我们需要在网页中显示数据统计报表,从而能很直观地了解数据的走向,开发人员很多时候需要使用图表来表现一些数据。随着Web技术的...

matplotlib 必知的 15 个图(matplotlib各种图)

施工专题,我已完成20篇,施工系列几乎覆盖Python完整技术栈,目标只总结实践中最实用的东西,直击问题本质,快速帮助读者们入门和进阶:1我的施工计划2数字专题3字符串专题4列表专题5流程控制专题6编...

R ggplot2常用图表绘制指南(ggplot2绘制折线图)

ggplot2是R语言中强大的数据可视化包,基于“图形语法”(GrammarofGraphics),通过分层方式构建图表。以下是常用图表命令的详细指南,涵盖基本语法、常见图表类型及示例,适合...

Python数据可视化:从Pandas基础到Seaborn高级应用

数据可视化是数据分析中不可或缺的一环,它能帮助我们直观理解数据模式和趋势。本文将全面介绍Python中最常用的三种可视化方法。Pandas内置绘图功能Pandas基于Matplotlib提供了简洁的绘...

Python 数据可视化常用命令备忘录

本文提供了一个全面的Python数据可视化备忘单,适用于探索性数据分析(EDA)。该备忘单涵盖了单变量分析、双变量分析、多变量分析、时间序列分析、文本数据分析、可视化定制以及保存与显示等内容。所...

统计图的种类(统计图的种类及特点图片)

统计图是利用几何图形或具体事物的形象和地图等形式来表现社会经济现象数量特征和数量关系的图形。以下是几种常见的统计图类型及其适用场景:1.条形图(BarChart)条形图是用矩形条的高度或长度来表示...

实测,大模型谁更懂数据可视化?(数据可视化和可视化分析的主要模型)

大家好,我是Ai学习的老章看论文时,经常看到漂亮的图表,很多不知道是用什么工具绘制的,或者很想复刻类似图表。实测,大模型LaTeX公式识别,出乎预料前文,我用Kimi、Qwen-3-235B...

通过AI提示词让Deepseek快速生成各种类型的图表制作

在数据分析和可视化领域,图表是传达信息的重要工具。然而,传统图表制作往往需要专业的软件和一定的技术知识。本文将介绍如何通过AI提示词,利用Deepseek快速生成各种类型的图表,包括柱状图、折线图、饼...

数据可视化:解析箱线图(box plot)

箱线图/盒须图(boxplot)是数据分布的图形表示,由五个摘要组成:最小值、第一四分位数(25th百分位数)、中位数、第三四分位数(75th百分位数)和最大值。箱子代表四分位距(IQR)。IQR是...

[seaborn] seaborn学习笔记1-箱形图Boxplot

1箱形图Boxplot(代码下载)Boxplot可能是最常见的图形类型之一。它能够很好表示数据中的分布规律。箱型图方框的末尾显示了上下四分位数。极线显示最高和最低值,不包括异常值。seaborn中...

一周热门
最近发表
标签列表