基于令牌的认证

每次请求必须发送 username 和 password 是十分不方便,即使是通过安全的 HTTP 传输的话还是存在风险,因为客户端必须要存储不加密的认证凭证,这样才能在每次请求中发送。

一种基于之前解决方案的优化就是使用令牌来验证请求。

我们的想法是客户端应用程序使用认证凭证交换了认证令牌,接下来的请求只发送认证令牌。

令牌是具有有效时间,过了有效时间后,令牌变成无效,需要重新获取新的令牌。令牌的潜在风险在于生成令牌的算法比较弱,但是有效期较短可以减少风险。

有很多的方法可以加强令牌。一个简单的强化方式就是根据存储在数据库中的用户以及密码生成一个随机的特定长度的字符串,可能过期日期也在里面。令牌就变成了明文密码的重排,这样就能很容易地进行字符串对比,还能对过期日期进行检查。

更加完善的实现就是不需要服务器端进行任何存储操作,使用加密的签名作为令牌。这种方式有很多的优点,能够根据用户信息生成相关的签名,并且很难被篡改。

Flask 使用类似的方式处理 cookies 的。这个实现依赖于一个叫做 itsdangerous 的库,我们这里也会采用它。

令牌的生成以及验证将会被添加到 User 模型中,其具体实现如下:

  1. from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
  2.  
  3. class User(db.Model):
  4.     # ...
  5.  
  6.     def generate_auth_token(self, expiration = 600):
  7.         s = Serializer(app.config['SECRET_KEY'], expires_in = expiration)
  8.         return s.dumps({ 'id': self.id })
  9.  
  10.     @staticmethod
  11.     def verify_auth_token(token):
  12.         s = Serializer(app.config['SECRET_KEY'])
  13.         try:
  14.             data = s.loads(token)
  15.         except SignatureExpired:
  16.             return None # valid token, but expired
  17.         except BadSignature:
  18.             return None # invalid token
  19.         user = User.query.get(data['id'])
  20.         return user

generate_auth_token() 方法生成一个以用户 id 值为值,’id’ 为关键字的字典的加密令牌。令牌中同时加入了一个过期时间,默认为十分钟(600 秒)。

验证令牌是在 verify_auth_token() 静态方法中实现的。静态方法被使用在这里,是因为一旦令牌被解码了用户才可得知。如果令牌被解码了,相应的用户将会被查询出来并且返回。

API 需要一个获取令牌的新函数,这样客户端才能申请到令牌:

  1. @app.route('/api/token')
    @auth.login_required
    def get_auth_token():
        token = g.user.generate_auth_token()
        return jsonify({ 'token': token.decode('ascii') })

注意:这个函数是使用了 auth.login_required 装饰器,也就是说需要提供 username 和 password。

剩下来的就是决策客户端怎样在请求中包含这个令牌。

HTTP 基本认证方式不特别要求 usernames 和 passwords 用于认证,在 HTTP 头中这两个字段可以用于任何类型的认证信息。基于令牌的认证,令牌可以作为 username 字段,password 字段可以忽略。

这就意味着服务器需要同时处理 username 和 password 作为认证,以及令牌作为 username 的认证方式。verify_password 回调函数需要同时支持这两种方式:

  1. @auth.verify_password
    def verify_password(username_or_token, password):
  2. # first try to authenticate by token
  3. user = User.verify_auth_token(username_or_token)
  4. if not user:
  5.     # try to authenticate with username/password
  6.     user = User.query.filter_by(username = username_or_token).first()
  7.     if not user or not user.verify_password(password):
  8.         return False
  9. g.user = user
  10. return True

新版的 verify_password 回调函数会尝试认证两次。首先它会把 username 参数作为令牌进行认证。如果没有验证通过的话,就会像基于密码认证的一样,验证 username 和 password。

如下的 curl 请求能够获取一个认证的令牌:

  1. $ curl -u miguel:python -i -X GET http://127.0.0.1:5000/api/token
  2. HTTP/1.0 200 OK
  3. Content-Type: application/json
  4. Content-Length: 139
  5. Server: Werkzeug/0.9.4 Python/2.7.3
  6. Date: Thu, 28 Nov 2013 20:04:15 GMT
  7.  
  8. {
  9.   "token": "eyJhbGciOiJIUzI1NiIsImV4cCI6MTM4NTY2OTY1NSwiaWF0IjoxMzg1NjY5MDU1fQ.eyJpZCI6MX0.XbOEFJkhjHJ5uRINh2JA1BPzXjSohKYDRT472wGOvjc"
  10. }

现在可以使用令牌获取资源:

  1. $ curl -u eyJhbGciOiJIUzI1NiIsImV4cCI6MTM4NTY2OTY1NSwiaWF0IjoxMzg1NjY5MDU1fQ.eyJpZCI6MX0.XbOEFJkhjHJ5uRINh2JA1BPzXjSohKYDRT472wGOvjc:unused -i -X GET http://127.0.0.1:5000/api/resource
  2. HTTP/1.0 200 OK
  3. Content-Type: application/json
  4. Content-Length: 30
  5. Server: Werkzeug/0.9.4 Python/2.7.3
  6. Date: Thu, 28 Nov 2013 20:05:08 GMT
  7.  
  8. {
  9.   "data": "Hello, miguel!"
  10. }

需要注意的是这里并没有使用密码。