如何在Flask应用程序中使用JSON Web Tokens进行安全认证

密码、信用卡信息、个人识别号码(PIN)——这些都是用于授权和认证的关键资产。这意味着它们需要受到未经授权的用户的保护。

作为开发者,我们的任务是保护这些敏感信息,并且在我们的应用程序中实施强大的安全措施非常重要。

现在,有许多认证机制可用于保护数据,如OAuth、OpenID Connect和JSON Web Tokens(JWTs)。

在本文中,我将向您展示如何通过在Flask应用程序中集成基于JWT的身份验证来使用JWTs来保护API中的信息。

以下是本文的内容:

  • 什么是JSON Web Token?
  • JWTs如何工作?
  • 如何使用JSON Web Tokens来认证Flask应用程序
    1. 安装依赖项
    2. 创建数据库和用户模型
    3. 配置应用程序以进行JWT身份验证
    4. 创建受保护的路由
    5. 创建登录功能
  • 结论

(本文视频讲解:java567.com)

先决条件

要按照本教程进行操作,您需要:

  • 理解HTTP方法
  • 理解如何在Flask中创建API
  • VS Code(或其他类似的)编辑器
  • 一个终端

什么是JSON Web Token?

JSON Web Tokens,简称JWTs,是一种用于在客户端和服务器之间安全传输信息的认证机制,使用JSON格式。

这些信息可以被验证和信任,因为它使用HMAC算法或使用RSA或ECDSA的公钥/私钥对进行数字签名。

令牌被编码为三部分,每部分由一个句点分隔,如下所示:

Header.Payload.Signature
  • **Header:**这定义了令牌的类型(JWT)和使用的签名算法。
  • **Payload:**这承载着用户特定的数据,如用户ID、用户名、角色和您想要包含的任何其他声明。此有效载荷被Base64编码以获得最大的安全性。
  • **Signature:**这是头部、有效载荷和服务器的秘密密钥的散列组合。它确保了令牌的完整性,并且任何对令牌的修改都将被检测到。

JWTs如何工作?

要理解JWTs如何工作,您需要知道令牌的作用。JWTs不是为了隐藏数据,而是为了确保正在发送的数据得到了认证。这就是为什么JWT被签名和编码,而不是加密。

JWT充当了从客户端向服务器传输数据的无状态手段。这意味着它不会在浏览器中存储任何会话对象,因此浏览器不会在请求之间保持会话状态。

而是,JWT使用一个令牌,在每次发出请求时都以请求头的形式发送。此令牌确认发送的令牌经过了认证,并允许访问该请求。

让我们看看这是如何发生的:

  1. 用户尝试登录并发送用户名和密码以由服务器验证。
  2. 验证函数执行检查,看看数据库中是否有匹配项。
  3. 一旦用户使用其信息(有效载荷)成功认证(登录),服务器就会生成一个JWT,并使用秘密密钥对其进行签名。
  4. 生成的JWT随每个请求头一起作为承载令牌发送,以检查用户是否被授权进行该请求。

如何在Flask应用程序中使用JSON Web Tokens进行身份验证

为了演示如何在Flask中实现JWT身份验证,我们将创建一个简单的应用程序,该应用程序使用JWT来处理登录功能和访问受保护的路由。

1. 安装依赖项

运行以下命令以安装我们需要的依赖项:

pip install flask flask-bcrypt Flask-JWT-Extended

接下来,请确保您导入依赖项并使用以下代码初始化您的Flask应用程序:

from flask import Flask, jsonify, session, request, redirect, url_for
from flask_jwt_extended import JWTManager, create_access_token, jwt_required, get_jwt_identity, get_jwtapp = Flask(__name__)////在这里编写主要代码if __name__ == "__main__":with app.app_context():app.run(debug=True)

2. 创建数据库和用户模型

为此,我们将使用SQL-Alchemy,它是一个Python SQL工具包,使在Python脚本中使用SQL变得不那么复杂。

要在应用程序中设置SQL Alchemy,请按照以下步骤操作:

首先,打开您的终端或命令提示符,并输入以下命令:

pip install sqlalchemy

此命令会在您的Python环境中安装SQLAlchemy,使其在项目目录中可用。

接下来,配置您的应用程序以使用您首选的数据库管理系统(DBMS)。本教程将使用SQlite3 DBMS,因为它不需要单独的服务器:

app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///site.db'

此代码片段指示Flask-SQLAlchemy在您的项目目录中创建并使用site.db文件作为应用程序的SQLite数据库。

然后在您的应用程序中初始化数据库:

db = SQLAlchemy(app)

这个数据库的实例充当应用程序和数据库之间的桥梁。

现在创建User模型,我们将在本教程中存储用户的详细信息:

class User(db.Model, UserMixin):id = db.Column(db.Integer, primary_key=True)username = db.Column(db.String(20), unique=True, nullable=False)password = db.Column(db.String(80), nullable=False)is_active = db.Column(db.Boolean(), default=True)cart = db.Column(JSON, nullable=True, default=list)  # Make cart nullable# Define the relationship between User and CartProductscart_products = relationship('CartProducts', backref="user", lazy="dynamic")# Define the relationship between User and Wishlistswishlists = db.relationship('Wishlists', backref='user', lazy=True)def __repr__(self):return f'<User {self.username}>'

**注意:**您可以使用相同的语法创建其他模型,以表示应用程序中的不同数据实体。

3. 配置应用程序以进行JWT身份验证

要在您的Flask应用程序中实现JWT身份验证,请导入必要的库并使用以下代码设置适当的配置:

from flask import Flask, jsonify, request
from flask_sqlalchemy import SQLAlchemy
from flask_jwt_extended import JWTManager, create_access_token, jwt_requiredapp = Flask(__name__)# 配置
app.config['SECRET_KEY'] = 'your_strong_secret_key'
app.config["JWT_SECRET_KEY"] = 'your_jwt_secret_key'
app.config['JWT_TOKEN_LOCATION'] = ['headers']# 数据库初始化
db = SQLAlchemy(app)# JWT初始化
jwt = JWTManager(app)# 应用程序的其他代码(路由等)

此代码片段导入了我们应用程序所需的以下组件:

  • app.config[‘SECRET_KEY’] 设置Flask应用程序的秘密密钥,用于安全地签名会话cookie和其他安全相关需求。
  • app.config[‘JWT_SECRET_KEY’] 设置用于对Flask-JWT操作中的JWT进行编码和解码的秘密密钥。
  • app.config[‘JWT_TOKEN_LOCATION’] 指定应用程序应在何处查找JWT。在这里,它设置为在HTTP标头中查找。

一旦我们设置了这些,我们就可以创建我们打算保护的端点和路由了。

4. 创建受保护的路由

受保护的路由是我们打算对未经授权的用户隐藏的页面。

例如,假设我们试图进入一个只允许社会成员进入的场所。但是,一名保安正在阻止“未经授权的用户”像我们这样进入场所。在这种情况下,我们是应用程序的用户,场所是我们正在保护的URL,保安是一个**@jwt_required**装饰器。

**@jwt_required**装饰器用于保护需要身份验证的特定路由。此装饰器将在允许访问页面之前确认请求标头中是否有JWT访问令牌:

@app.route('/get_name', methods=['GET'])
@jwt_required()
def get_name():# 从JWT中提取用户IDuser_id = get_jwt_identity()user = User.query.filter_by(id=user_id).first()# 检查用户是否存在if user:return jsonify({'message': 'User found', 'name': user.name})else:return jsonify({'message': 'User not found'}), 404

在此代码片段中,我们创建了一个函数,在身份验证后返回用户的名称。如果缺少令牌、令牌无效或过期,请求将被拒绝,并且通常服务器将返回HTTP 401 Unauthorized状态。

5. 创建登录页面

在此端点中,我们将创建一个函数,该函数从客户端请求(例如,表单数据)接受用户名和密码凭据,并将从用户获取的凭据与数据库中的用户数据进行比较。如果匹配成功,将生成包含用户信息的JWT访问令牌。

@app.route('/login', methods=['POST'])
def login():data = request.get_json()username = data['username']password = data['password']print('Received data:', username , password)user = User.query.filter_by(username=username).first()if user and bcrypt.check_password_hash(user.password, password):access_token = create_access_token(identity=user.id)return jsonify({'message': 'Login Success', 'access_token': access_token})else:return jsonify({'message': 'Login Failed'}), 401

在此示例中,当收到POST请求时,函数使用bcrypt对用户的凭据与数据库进行安全密码验证。如果凭据有效,服务器将为用户生成JWT,允许他们访问受保护的路由。

这是一个示例React表单,将POST请求发送到登录端点:

import React from "react";
import axios from "axios";
import { useState } from "react";
import Footer from "./Footer";
// import "./Login.css";function Login() {const [password, setPassword] = useState("");const [username, setUsername] = useState("");const handleLogin = async (event) => {event.preventDefault();const data = {username: username,Password: password,};try {const response = await axios.post("http://localhost:5000/login", {username,password,});localStorage.setItem("access_token", response.data.access_token);// Redirect to protected routealert("Login successful");} catch (error) {console.error(error);// Display error message to user}};const handleUsernameChange = (event) => {setUsername(event.target.value);};const handlePasswordChange = (event) => {setPassword(event.target.value);};return (<div ><form method="post" ><inputtype="text"id=""placeholder="Username"name="username"requiredvalue={username}onChange={handleUsernameChange}/><inputtype="text"id=""placeholder="Your email"/><inputtype="password"requiredplaceholder="Your Password"name="password"value={password}onChange={handlePasswordChange}/></form><button type="submit" onClick={handleLogin}>Log In</button></div>);}export default Login;

在此React组件中,我们提供了一个登录表单,该表单使用Axios将POST请求发送到登录端点。它使用React的useState钩子管理用户名和密码输入,并在提交表单后提交这些值。

如果登录成功,它会将JWT存储在本地存储中。这使得客户端应用程序在向服务器发出经过身份验证的请求时可以轻松地检索令牌。

jwtDemo-1

结论

在本文中,我们学习了如何在Flask中使用JSON Web Tokens来保护API。我们介绍了JWT的基础知识,它们的工作原理,并提供了一个逐步的过程来实现这种身份验证方法。这包括安装必要的依赖项,创建用户模型和保护路由等内容。

您可以在此基础上构建更多功能,例如添加刷新令牌、与第三方OAuth提供程序集成或处理更复杂的用户权限。

(本文视频讲解:java567.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/1913.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PLC无线通讯技术在汽车喷涂车间机械手臂上的应用

一、项目背景 在汽车生产装配工艺中&#xff0c;机械臂目前已经广泛地应用于装配、搬运等工业生产中&#xff0c;在机械臂系列产品中&#xff0c;汽车喷漆自动控制喷涂机械装置以其独特的优势&#xff0c;能够根据油漆喷涂量的大小&#xff0c;严格控制喷嘴与喷漆面之间距离等…

flink Unsupported operand types: IF(boolean, NULL, String)

问题&#xff1a;业务方存储了NULL 字符串&#xff0c;需要处理为 null select if(anull&#xff0c;null&#xff0c;a); 结果遇到了 Unsupported operand types: IF(boolean, NULL, String)&#xff0c;根据报错反馈&#xff0c;很明显应该是没有对 null 自动转换&#xff…

vue里面事件修饰符.stop使用案例

Vue.js 事件修饰符 .stop 用于阻止事件继续传播&#xff0c;即阻止事件冒泡。这在处理父子组件之间的事件通信时特别有用&#xff0c;可以防止事件从子组件冒泡到父组件&#xff0c;或者在一个元素上绑定多个事件处理函数时&#xff0c;阻止后续事件处理函数的执行。 下面是一个…

直播预告:拥抱AI-探索AI大模型在邮件反钓鱼检测的应用

随着ChatGPT的问世&#xff0c;生成式AI技术迅速渗透到我们生活的各个角落&#xff0c;以ChatGPT为代表的生成式AI技术&#xff0c;依托其强大的AI模型和海量数据&#xff0c;赢得了广泛的欢迎。 然而&#xff0c;生成式AI的不断演进也带来了新的挑战。大型语言模型&#xff08…

前端常用的数据加密方式

前端开发中&#xff0c;数据安全是至关重要的一个方面。数据加密是保护用户隐私和信息安全的关键方法之一。 前端常用的数据加密方式涵盖了对传输数据的加密、存储数据的加密以及客户端与服务器端之间通信的加密。 1. 对称加密算法 对称加密算法使用相同的密钥进行加密和解密…

IUG-CF论文精读

Neural collaborative filtering with ideal user group labels &#xff08;具有理想用户组标签的神经协同过滤&#xff09; 论文地址&#xff1a;https://www.sciencedirect.com/science/article/pii/S0957417423023898 摘要&#xff1a; 人口统计信息是推荐系统(RSs)的关键…

社交媒体数据恢复:钉钉

在数字化办公日益普及的今天&#xff0c;钉钉作为一款综合性的企业级通讯工具&#xff0c;已经深入到众多企业和个人的工作与生活中。然而&#xff0c;在日常使用过程中&#xff0c;我们难免会遇到一些意外情况导致数据丢失的问题。本文将针对钉钉数据恢复这一主题&#xff0c;…

色彩空间转换在AI去衣技术中的应用与探索

在人工智能&#xff08;AI&#xff09;的广阔领域中&#xff0c;图像处理和计算机视觉技术一直占据着举足轻重的地位。其中&#xff0c;AI去衣技术作为一种新兴的图像处理技术&#xff0c;近年来受到了广泛关注。在AI去衣的实现过程中&#xff0c;色彩空间转换技术发挥着至关重…

文心一言 VS 讯飞星火 VS chatgpt (242)-- 算法导论17.4 1题

一、假定我们希望实现一个动态的开地址散列表。为什么我们需要当装载因子达到一个严格小于 1 的值 a 时就认为表满&#xff1f;简要描述如何为动态开地址散列表设计一个插入算法&#xff0c;使得每个插入操作的摊还代价的期望值为 O(1) 。为什么每个插入操作的实际代价的期望值…

文旅IP孵化打造抖音宣传推广运营策划方案

【干货资料持续更新&#xff0c;以防走丢】 文旅IP孵化打造抖音宣传推广运营策划方案 部分资料预览 资料部分是网络整理&#xff0c;仅供学习参考。 PPT可编辑&#xff08;完整资料包含以下内容&#xff09; 目录 文旅IP抖音运营方案 1. 项目背景与目标 - 背景&#xff1a…

【无监督+自然语言】GPT,GPT-2,GPT-3 方法概述 (Generative Pre-Traning)

主要参考 【GPT&#xff0c;GPT-2&#xff0c;GPT-3 论文精读【李沐论文精读】-2022.03.04】 https://www.bilibili.com/video/BV1AF411b7xQ/ 大语言模型综述&#xff1a; http://t.csdnimg.cn/4obR4 发展节点 2017.06 Transformer: 所有大语言模型LLMs的基础结构 , Attent…

【六十二】【算法分析与设计】买苹果_牛客题霸_牛客网,牛牛爱博弈,829. 连续整数求和,对数器找规律法,博弈论2^k移动对3取余规律,取余的性质整除性

买苹果_牛客题霸_牛客网 描述 小易去附近的商店买苹果&#xff0c;奸诈的商贩使用了捆绑交易&#xff0c;只提供6个每袋和8个每袋的包装(包装不可拆分)。 可是小易现在只想购买恰好n个苹果&#xff0c;小易想购买尽量少的袋数方便携带。如果不能购买恰好n个苹果&#xff0c;小易…

2元4mm2高精度温度湿度传感器GXHTC3

温湿度传感器芯片GXHTC3 前言&#xff1a; 该温湿度传感器为国产&#xff0c;批量价格约2元&#xff0c;精度较高&#xff0c;DHT11该被淘汰了&#xff0c;这个才是传感器。 特点 超低功耗 宽工作电压范围(1.62 – 5.5 V) 小型 DFN 封装: 2 2 0.75 mm3 典型精度: 湿度 2 %R…

创新与乐趣的融合 —— 探索我们独家录音变音芯片在学舌玩具领域的应用

一&#xff1a;概述 学舌玩具&#xff0c;又称作复读玩具或模仿玩具&#xff0c;是一类设计用来录制人声并重复播放的互动式玩具。这类玩具以其能够模仿人类语音的特性而受到小朋友和宠物主人的喜爱。这些玩具通常具有以下特点和功能&#xff1a; 1. 录音和播放功能&#xff…

sc2024项目consul

1. 什么是consul HashiCorp Consul是一款服务网络解决方案&#xff0c;可让团队管理服务之间以及内部部署和多云环境及运行时的安全网络连接。consul提供服务发现、服务治理、流量管理和对网络基础设施设备的自动更新。(添加链接描述)Consul使用Go语言开发 2. 功能 多数据中…

Mysql基础(二)数据类型和约束

一 数据类型 讲解主要的数据类型,不面面俱到,后续遇到具体问题再查询补充扩展&#xff1a; 知识点的深度和广度以工作为导向 ① int float M : 表示显示宽度&#xff0c;M的取值范围是(0, 255)例如: int(5),当数据宽度小于5位的时候在数字前面需要用字符填满宽度说明&…

【Linux】对system V本地通信的内核级理解

一、system V版本的进程间通信技术 通过之前的学习&#xff0c;我们大致可以感受出来&#xff0c;共享内存&#xff0c;消息队列和信号量在使用的时候是有很多共性的。它们三个的接口&#xff0c;包括接口中传的参数有的都有很大的相似度。其实&#xff0c;共享内存&#xff…

05 JavaScript学习:语法

JavaScript 是一种动态类型的脚本语言&#xff0c;广泛用于网页开发和构建交互式网页。JavaScript 的语法相对简单&#xff0c;但功能强大&#xff0c;它可以在客户端执行&#xff0c;并与HTML和CSS一起构建交互式的网页。 JavaScript 字面量 在 JavaScript 中&#xff0c;字…

面试题集中营—GC日志简析及频繁GC的调优

如何查看GC日志 有两种方式查看GC日志&#xff0c;一种是动态命令行查看 jstat -gc <pid> 300 5 第二种就是在JVM参数中增加打印的参数&#xff0c;如下&#xff1a; -XX:PrintGCDetails -XX:PrintGCTimeStamps 表示打印每次GC的日志以及GC发生的时间 -Xloggc:gc.log …

IDEA 2024.1 配置 AspectJ环境

最近Java课设在学习AspectJ&#xff0c;做PPT顺便写一个博客 下载包 首先去AspectJ官网下载一个JAR包并安装 安装完最后可以按照他的建议配置一下 然后找到AspectJ的安装位置的lib目录&#xff0c;把三个包拷到自己项目中的lib目录下 由于最新版的IDEA已经不支持AspectJ了 所…