Python web框架实现增加BasicAuth认证详解
目录
  • 什么是http BashAuth
  • BasicAuth认证底层原理
  • 将BasicAuth认证添加到框架中
  • 框架功能测试
  • 总结

上一篇文章,我们已经为框架定义了【响应对象】,该框架不仅可以获取客户端上传的报文信息,还能生成一些简单信息,如自定义响应头等等。今天我们再次完善一下该框架,给框架增加权限验证的功能,给框架加上一个BasicAuth的方法。

本篇文章所依赖的环境为:

本次代码已经放到了gitee上:gitee.com/pdudo/golearn/tree/master/python/webFramework

什么是http BashAuth

在日常生活或者工作中,你是否见到过这样的页面呢?

当我们打开窗口,网页并不是里面加载出来的,而是弹出了一个输入框,让我们输入其用户名和密码,输入后待服务器验证通过后,才开始展现实际的网页内容。这个就是BashAuth了,全称为: Basic access authentication,也称基本认证。是一种极其简单http协议身份验证方式。BashAuth认证的方式是通过请求头来发送和校验的,而非我们熟知的cookietoken等。

还有一点需要注意,这里所展现的输入框,其实是浏览器底层拆解协议所支持的。

BasicAuth认证底层原理

BasicAuth使用的http协议进行身份验证的,所以会将身份信息携带在请求头中进行传输。

第一步: 用户在第一次进行浏览器请求页面的时候,不会携带认证信息,此时服务器接接收信息后,判断报文中请求头没有WWW-Authenticate,此时会返回客户端报文,其中需要将报文响应状态码为401,响应头新增一个keyWWW-Authenticate,值为realm加上请求域,做法是为了避免和其他URL相冲突。所以响应核心报文为:

HTTP/1.0 401 Unauthorized
WWW-Authenticate: Basic realm="pdudo sites"

其中状态码为401代表客户端错误,指的是需要身份验证,WWW-Authenticate响应头的值为Basic realm="pdudo sites"Basic代表验证的模式,realm代表请求域,请求域是为了和其他URL相冲突。

第二步: 当浏览器接收到该报文后,会判断其状态码为401并且请求头中有keyWWW-Authenticate,此时便会弹出输入框,让用户输入信息以便服务器校验。

输入之后,不是直接发送给服务器,而是会根据服务器发送的验证模式进行校验,如basic,加入客户端发送的报文如下:

GET /index HTTP/1.1
HTTP_AUTHORIZATION: Basic cGR1ZG86anVlamlu

其中Get代表请求方式,/index表示请求路径,HTTP/1.1http的版本。请求头HTTP_AUTHORIZATION表示验证数据,Basic是验证方式,cGR1ZG86anVlamlu表示用户名:密码,只不过浏览器使用base64进行编码了而已。

第三步: 服务器在接收到报文后,发现有HTTP_AUTHORIZATION,则会使用base64解码,发现客户端上传的数据为pdudo:juejin,以:为分割,前者是用户名,后则是密码。当验证通过后,进行发送其他信息,若验证未通过,则重复第一步。

将BasicAuth认证添加到框架中

我们已经知晓了BasicAuth认证的底层原理,所以可以开始修改我们的框架了,我们将其代码写到上一篇所述的response类中,代码如下:

def basicAuth(self):
    if "HTTP_AUTHORIZATION" not in self.response:
        return None,None,"HTTP_AUTHORIZATION request header not found"
    else:
        originalVal = self.response["HTTP_AUTHORIZATION"]
        types = originalVal.split(" ")[0]
        values = originalVal.split(" ")[1]
        if types == "Basic":
            userAndPasswd = base64.b64decode(values).decode()
            user = userAndPasswd.split(":")[0]
            passwd = userAndPasswd.split(":")[1]
            return user,passwd,None
        else:
            return None, None, "HTTP_AUTHORIZATION request error,unrecognized type: %s " %(types)

当客户端函数调用basicAuth时,服务器检查客户端http报文中,是否有HTTP_AUTHORIZATION,如果没有,则直接返回HTTP_AUTHORIZATION request header not found

若请求头有该key,则将其抓出来存储到originalVal中,它的值类似于: Basic cGR1ZG86anVlamlu,前者是认证类型,后者是加密后字符串,所以我们需要分开将其取出来,存到typesvalues中,再判断types是否是Basic,如果是我们使用base64进行解密,解密后的值类似于pdudo:juejin,以冒号(:)隔开,前者为用户名,后者为密码,所以我们需要将字符串按照:进行拆分,前者保存到user中,后者保存到passwd中,最后将其数据给函数。

那当第一步检查请求头没有HTTP_AUTHORIZATION或者用户名密码不对,应该如何返回呢? 这个需要用户在函数中进行调用即可,例如:

@myWeb.routes(path="/index",methods="all",regular=False)
def index(r):
    username, password , isok = r.basicAuth()
    if isok != None or username != "pdudo" or password != "juejin":
        r.set_headers("WWW-Authenticate","Basic realm="pdudo sites"")
        r.status_code(401)
        return
    return "123"

上述代码,使用我们自己编写的myWeb框架,定义了一个路由/index,其方法为Get或者Postregular=False则不使用正则路由,在函数中,通过r.basicAuth()来获取客户端上传的用户名密码,当用户名不等于pdudo或者密码不等于juejin或者解析失败的时候,会将响应状态码定义为401,并且设置响应头,keyWWW-Authenticate,值为Basic realm="pdudo sites"

框架功能测试

这里就不贴myWeb.py的代码了,太长了,大家可以去gitee上看,这里贴一下main.py代码:

import myweb

@myweb.routes(path="/index",methods="all",regular=False)

def index(r):
    username,password,isok = r.basicAuth()
    print("username:",username,"passwd:",password)
    if isok != None or username != "pdudo" or password !="juejin":
        r.set_headers("WWW-Authenticate","Basic realm=\"pdudo sites\"")
        r.status_code(401)
        return

     return "123"

def main():
    myweb.run("",8888)

if __name__ == '__main__':
    main()

为了方便,我将每次获取到的数据,都打印一下,方便待会查看数据。

执行代码后,打开浏览器输入http://pdudo.juejin.cn:8888/index,当弹出框后,我们第一个故意输错,第二次才输正确:

我们查看服务器日志,如下:

一共收到了3次,第一个输出后,并没有携带报文,被挡回来了,所以用户名和密码都为None,第二次则是密码输入不正确被挡回来了,第三次输入正确,成功得到数据123

总结

本篇文章,我们介绍了一个极其古老的认证方式: BashAuth, 它是通过请求头来发送数据和验证的。接着我们了解了一下其认证过程,其中最常用的是类型是Basic,它表示将数据进行base64编码后传输,注意是编码,不是加密。所以在使用该功能的时候,最好配合https使用,以便被抓包后破解。 最后将其添加到我们的web框架myWeb.py中。

到此这篇关于Python web框架实现增加BasicAuth认证详解的文章就介绍到这了,更多相关Python增加BasicAuth认证内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • express的中间件basicAuth详解

    express的中间件basicAuth详解

    basicAuth中间件为网站添加身份认证功能.在使用了该中间件后, 用户访问网站时必须输入用户名与密码,在用户输入了用户名与密码并通过验证之后才能访问网站. 当用户输入的用户名和密码符合条件,中间件会返回true,允许用户访问网站.否则会返回false.不允许访问网站. 复制代码 代码如下: var express=require("express");  var app=express();  app.use(express.basicAuth("gys",&q

  • python实现一个简单的web应用框架

    目录 引言 写应用框架需要写底层服务器么? uwsgi基本使用 安装uwsgi 配置uwsgi uwsgi常用配置 uwsgi启服和停服 启动一个demo 写一个简单的web应用框架 总结 引言 本篇文章所依赖的python环境是: 如果你还没了解过什么是WSGI,建议先查询一下相关资料,或者查看上一篇文章: python|探寻WSGI Application 写应用框架需要写底层服务器么? 这个要区分2种情况,如果应用框架,你没有参考WSGI标准,那么在写应用框架之前,你就必须要定义一套属于自

  • selenium中BasicAuth认证弹框处理

    selenium中BasicAuth认证弹框处理

    目录 一.什么是BasicAuth 二.selenium处理思路 一.什么是BasicAuth 网友见面: 例如王二狗和牛翠花两个人在网上都互动半年了还没有见面,于是二狗向翠花发出了诚挚的邀请:翠花,五一来天津玩吧,我请你吃麻辣烫!本来二狗想先视频一下到时候好认人,但翠花说那样就没有惊喜感了.于是两人就采取了最原始的认证方式:对暗号,到时候翠花喊:天王盖地虎.二狗就喊:翠花好漂亮. 没错,这种方式就是HTTP基本认证. 映射到互联网为: 1.客户端:服务器,请把logo.jpg图片返回给我 GE

  • python脚本框架webpy的url映射详解

    目录 实例 问题 URL完全匹配(具体的url) /index URL模糊匹配(你根本就不知道index后面是什么,它根本不会返回参数) /index/\d URL带组匹配(主要有个'()',它的作用主要是返回参数,你处理的类中一定要有个参数接受) /baidu/(.*) 实例 import web urls=('/index','AbsoluteUrl', '/index/\d','AmbiguousUrl', '/index/(.*)','GroupUrl') #具体的url处理类 clas

  • Python测试框架pytest核心库pluggy详解

    目录 代码案例 实例化: 添加到钩子定义中 (add_hookspecs) 注册插件 register 运行插件 pm.hook.myhook 代码案例 import pluggy # HookspecMarker 和 HookimplMarker 实质上是一个装饰器带参数的装饰器类,作用是给函数增加额外的属性设置 hookspec = pluggy.HookspecMarker("myproject") hookimpl = pluggy.HookimplMarker("m

  • Python Django框架中表单的用法详解

    Python Django框架中表单的用法详解

    目录 文件上传 Form表单 表单字段 字段参数 widget参数 表单的验证 表单模型文件上传例子 模型表单 AJAX Django保证表单的正确显示需要添加CSRF(防止网站跨站请求伪造而默认开启的一种保护方式),在<form></form>之间添加 {% csrf_token %} 在项目settings.py中 * ‘django.middleware.csrf.CsrfViewMiddleware’, * 引入,如果没有此中间件,手动添加. 文件上传 首次打开路径是GET

  • python orm 框架中sqlalchemy用法实例详解

    本文实例讲述了python orm 框架中sqlalchemy用法.分享给大家供大家参考,具体如下: 一.ORM简介 1. ORM(Object-Relational Mapping,对象关系映射):作用是在关系型数据库和业务实体对象之间做一个映射. 2. ORM优点: 向开发者屏蔽了数据库的细节,使开发者无需与SQL语句打交道,提高了开发效率; 便于数据库的迁移,由于每种数据库的SQL语法有差别,基于Sql的数据访问层在更换数据库时通过需要花费时间调试SQL时间,而ORM提供了独立于SQL的接

  • Selenium(Python web测试工具)基本用法详解

    Selenium(Python web测试工具)基本用法详解

    本文实例讲述了Selenium基本用法.分享给大家供大家参考,具体如下: Selenium是一个用于Web应用程序测试的工具.Selenium测试直接运行在浏览器中,就像真正的用户在操作一样.支持的浏览器包括IE(7, 8, 9, 10, 11),Mozilla Firefox,Safari,Google Chrome,Opera等.这个工具的主要功能包括:测试与浏览器的兼容性--测试你的应用程序看是否能够很好得工作在不同浏览器和操作系统之上.测试系统功能--创建回归测试检验软件功能和用户需求.

  • Django web框架使用url path name详解

    quicktool/view.py文件修改视图函数index(),渲染一个home.html模板 from django.shortcuts import render def index(request): return render(request, 'home.html') quicktool(应用app)下创建一个templates文件夹(模板),在templates下创建一个home.html <!DOCTYPE html> <html> <head> <

  • Python Web框架之Django框架Form组件用法详解

    本文实例讲述了Python Web框架之Django框架Form组件用法.分享给大家供大家参考,具体如下: Form简介 在HTTP中,表单(form标签),是用来提交数据的,其action属性说明了其传输数据的方法:如何传.如何接收. 访问网站时,表单可以实现客户端与服务器之间的通信.例如查询,就用到了表单(其属性中,action=get). 再比如说注册与登陆,也是要用到表单的.但这里由于涉及到隐私问题,需要保证数据传输的安全性,因此其传输方法就应当使用post而非get. 总之,对客户端来

  • Python Web框架之Django框架Model基础详解

    本文实例讲述了Python Web框架之Django框架Model基础.分享给大家供大家参考,具体如下: model是关于你的数据的单一的,确定的信息来源. 它包含您正在存储的数据的基本字段和行为.Django通过抽象化的模型层(models)为你的网络应用提供对于数据的结构化处理和操作处理,数据库相关的代码一般写在 models.py 中,Django 支持 sqlite3, MySQL, PostgreSQL等数据库,使用数据库API对数据库进行增删改查的操作. 使用哪种数据库,只需要在se

  • Python Web框架之Django框架文件上传功能详解

    Python Web框架之Django框架文件上传功能详解

    本文实例讲述了Python Web框架之Django框架文件上传功能.分享给大家供大家参考,具体如下: 上传方式: - Form表单上传文件 - Ajax上传文件 - 基于form表单和iframe自己实现ajax请求 1,创建项目 2,settings配置(注册app01,static路径等等这些)及url添加(略过) 3,views视图函数 form的视图收到了在request.FILES中的文件数据.从上述form来的数据可以通过request.FILES['file']来存取. 特别注意

  • Python Web框架Tornado运行和部署

    本文实例为大家分享了Python Web框架Tornado运行和部署的详细内容,供大家参考,具体内容如下 一.运行和部署 因为Tornado内置了自己的HTTPServer,运行和部署它与其他Python web框架不太一样.你需要写一个main()函数来启动服务,而不是配置一个WSGI容器来运行你的应用: def main(): app = make_app() app.listen(8888) IOLoop.current().start() if __name__ == '__main__

随机推荐

其他