python模块itsdangerous简单介绍

11-15 142阅读 0评论

安装

?=

你可以从PyPI上直接安装这个:

pip install itsdangerous 

适用案例

在取消订阅某个通讯时,你可以在URL序列化并且签名一个用户的ID。这种情况下你不需要生成一个一次性的token并把它们存到数据库中。在任何的激活账户的链接或似的情形下,同样适用。被签名的对象可以被存入Cookie中或其他不可信来源,这意味着你不需要在服务端保存sessiON,这样可以降低数据读取的次数。通常签名后的信息可以安全地往返与服务端与客户端之间,这个特性可以用于将服务端的状态传递到客户端再传递回来。

签名接口

最基本的接口是签名接口。 Signer 类可以用来将一个签名附加到指定的字符串上:

>>> from iTSdangerous import Signer >>> s = Signer('secret-key') >>> s.sign('my string') 'my string.wh6tMHxLgJqB6oY1uT73iMlyrOA'

签名会被加在字符串尾部,中间由句号 (.)分隔。验证字符串,使用 unsign() 方法

>>> s.unsign('my string.wh6tMHxLgJqB6oY1uT73iMlyrOA') 'my string'

如果被签名的是一个unicode字符串,那么它将隐式地被转换成utf-8。然而,在反签名时,你没法知道它原来是unicode还是字节串。如果反签名失败了,将得到一个异常:

>>> s.unsign('my string.wh6tMHxLgJqB6oY1uT73iMlyrOX') Traceback (most recent call last):   ... itsdangerous.BadSignature: Signature "wh6tMHxLgJqB6oY1uT73iMlyrOX" does not match 

使用时间戳签名

如果你想要可以过期的签名,可以使用 timestampSigner 类,它会加入时间戳信息并签名。在反签名时,你可以验证时间戳有没有过期:

>>> s = TimestampSigner('secret-key') >>> string = s.sign('foo') >>> s.unsign(string, max_age=5) Traceback (most recent call last):   ... itsdangerous.SignatureExpired: Signature age 15 > 5 seconds</pre>

序列化

因为字符串难以处理,本模块也提供了一个与JSon或pickle类似的序列化接口。(它内部默认使用simplejson,但是可以通过子类进行修改):class:Serializer类实现了:

>>> from itsdangerous import Serializer >>> s = Serializer('secret-key') >>> s.dumps([1, 2, 3, 4]) '[1, 2, 3, 4].r7R9RhGgDPvvWl3iNzLUIifELmo' 

它当然也可以加载数据:

>>> s.loads('[1, 2, 3, 4].r7R9RhGgDPvvWl3iNzLuIIfELmo') [1, 2, 3, 4]

如果你想要带一个时间戳,你可以用 TimedSerializer 类。url安全序列化如果能够向只有字符受限的环境中传递可信的字符串的话,将十分有用。因此,itsdangerous也提供了一个URL安全序列化工具:

>>> from itsdangerous import URLSafeSerializer >>> s = URLSafeSerializer('secret-key') >>> s.dumps([1, 2, 3, 4]) 'WzEsMiwzLDRd.wSPHqC0gR7VUqivlSukJ0IeTDGo' >>> s.loads('WzEsMiwzLDRd.wSPHqC0gR7VUqivlSukJ0IeTDGO') [1, 2, 3, 4]

JSON Web 签名

从“itsdangerous” 0.18版本开始,也支持了JSON web签名。它们的工作方式与原有的URL安全序列化器差不多,但是会根据当前JSON Web签名

>>> from itsdangerous import JSONWebSignatureSerializer >>> s = JSONWebSignatureSerializer('secret-key') >>> s.dumps({'x': 42}) 'eyJhbGciOiJIUzI1NiJ9.eyJ4Ijo0Mn0.ZdTn1YyGz9Yx5B5wNpWRL221G1Wpve5fPCPKNuc6UAo'

在将值加载回来时,默认会像其他序列化器一样,不会返回header。但是你可以通过传入 return_header=True 参数来得到header。

>>> s.dumps(0, header_fields={'v': 1}) 'eyJhbGciOiJIUzI1NiIsInYiOjF9.MA.wT-RZI9YU06R919VBdAfTLn82_iIQD70J_j-3F4z_aM' >>> s.loads('eyJhbGciOiJIUzI1NiIsInYiOjF9.MA.wT-RZI9YU06R919VBdAf' ... 'TLn82_iIQD70J_j-3F4z_aM', return_header=True) ... (0, {u'alg': u'HS256', u'v': 1}) 

例:

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer from Django.conf import settings 

serializer = Serializer(秘钥, 有效期秒)

serializer = Serializer(settings.SECRET_KEY, 300) 

serializer.dumps(数据), 返回bytes类型

token = serializer.dumps({'mobile': '18512345678'}) token = token.decode()

检验token 验证失败,会抛出itsdangerous.BadData异常

serializer = Serializer(settings.SECRET_KEY, 300) try: data = serializer.loads(token) except BadData: return None 

到此这篇关于Python模块itsdangerous简介的文章就介绍到这了,更多相关python模块itsdangerous简介内容请搜索云初冀北以前的文章或继续浏览下面的相关文章希望大家以后多多支持云初冀北!

免责声明
本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail:goliszhou@gmail.com
$

发表评论

表情:
评论列表 (暂无评论,142人围观)

还没有评论,来说两句吧...