用户登录的功能我们使用 Json Web Token(JWT) 来为登录用户生成token令牌,并返回给客户端,客户端有了令牌之后,每次访问服务器,都携带Token,后台经过验证就能知道当前登录的用户是谁,以实现鉴权,权限控制。
comment——utils——token_pyjwt.py
生成token和验证token
import jwt
from comment.utils import const
from datetime import datetime,timedelta
from jwt import PyJWTError
from flask import current_app
from comment.models.user import User
def generate_tokens(uid):
'''
一个用户在一次会话生成一个token
:param uid: 用户id
:return:
'''
#params:是生成token的参数
params={
'id':uid,
#exp:代表token的有效时间,datetime.utcnow():代表当前时间
#timedelta:表示转化为毫秒
'exp':datetime.utcnow()+timedelta(seconds=const.JWT_EXPIRY_SECOND)
}
#key:密钥,
#algorithm:算法,算法是SHA-256
#SHA-256:密码散列函数算法.256字节长的哈希值(32个长度的数组)---》16进制字符串表示,长度为64。
信息摘要,不可以逆
return jwt.encode(payload=params,key=const.SECRET_KEY,algorithm='HS256')
def verify_tokens(token_str):
'''
验证token
:param token_str:如果验证成功返回用户id
:return:
'''
try:
#返回之前生成token的时候的字典,字典种包含id和exp
data=jwt.decode(token_str,key=const.SECRET_KEY,algorithms='HS256')
current_app.logger.info(data)
user=User.query.filter(User.id==data['id']).first()
if user and user.onlock==0: #如果用户存在,并且没有锁定
return {'id':user.id}
else:
return {"message":"数据库中不存在当前用户,或者用户已经过期"}
except PyJWTError as e:
current_app.logger.error(e)
return {"message":"token验证失败"}
comment——utils——const.py
定义常量
SECRET_KEY=os.urandom(16) #生成一个随机数作为密钥
JWT_EXPIRY_SECOND=60*60 #TOKENDE 有效时间,一个小时
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)