目录
身份验证与授权
HTTP 基本身份验证
流程
优点
缺点
包
代码
资源
HTTP 摘要式身份验证
流程
优点
缺点
包
代码
资源
基于会话的身份验证
流程
优点
缺点
包
代码
资源
基于令牌的身份验证
流程
优点
缺点
包
代码
资源
一次性密码
流程
优点
缺点
包
代码
资源
OAuth 和 OpenID
流程
优点
缺点
包
代码
资源
结论
在本文中,我们将从Python Web开发人员的角度看处理Web身份验证的最常用方法。
虽然代码示例和资源适用于 Python 开发人员,但每种身份验证方法的实际说明适用于所有 Web 开发人员。
身份验证与授权
身份验证是验证尝试访问受限系统的用户或设备的凭据的过程。同时,授权是验证是否允许用户或设备在给定系统上执行某些任务的过程。
简单地说:
- 身份验证:您是谁?
- 授权:你能做些什么?
身份验证先于授权。也就是说,用户必须保持有效,然后才能根据其授权级别授予对资源的访问权限。对用户进行身份验证的最常见方法是 via 和 。一旦通过身份验证,就会为它们分配不同的角色(如 、等),从而向它们授予对系统的特殊权限。usernamepasswordadminmoderator
有了这个,让我们看一下用于对用户进行身份验证的不同方法。
HTTP 基本身份验证
内置于 HTTP 协议中的基本身份验证是最基本的身份验证形式。有了它,登录凭据将随每个请求一起发送到请求标头中:
代码语言:javascript复制"Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=" your-website.com
用户名和密码未加密。相反,用户名和密码使用符号连接在一起以形成单个字符串:。然后使用 base64 对此字符串进行编码。:username:password
>>> import base64
>>>
>>> auth = "username:password"
>>> auth_bytes = auth.encode('ascii') # convert to bytes
>>> auth_bytes
b'username:password'
>>>
>>> encoded = base64.b64encode(auth_bytes) # base64 encode
>>> encoded
b'dXNlcm5hbWU6cGFzc3dvcmQ='
>>> base64.b64decode(encoded) # base64 decode
b'username:password'
此方法是无状态的,因此客户端必须为每个请求提供凭据。它适用于 API 调用以及不需要持久会话的简单身份验证工作流。
流程
- 未经身份验证的客户端请求受限资源
- 返回 HTTP 401 未授权,其标头值为 。
WWW-AuthenticateBasic
- 标头会导致浏览器显示用户名和密码提升
WWW-Authenticate: Basic
- 输入凭据后,它们将与每个请求一起发送到标头中:
Authorization: Basic dcdvcmQ=
优点
- 由于正在进行的操作不多,因此使用此方法可以更快地进行身份验证。
- 易于实施。
- 所有主流浏览器都支持。
缺点
- Base64 与加密不同。这只是表示数据的另一种方式。base64 编码的字符串可以很容易地解码,因为它是以纯文本形式发送的。这种较差的安全功能需要多种类型的攻击。因此,HTTPS / SSL是绝对必要的。
- 必须随每个请求一起发送凭据。
- 用户只能通过使用无效凭据重写凭据来注销。
包
- Flask-HTTPAuth
- django-basicauth
- FastAPI: HTTP Basic Auth
代码
基本的HTTP身份验证可以使用Flask-HTTP包在Flask中轻松完成。
代码语言:javascript复制from flask import Flask
from flask_httpauth import HTTPBasicAuth
from werkzeug.security import generate_password_hash, check_password_hash
app = Flask(__name__)
auth = HTTPBasicAuth()
users = {
"username": generate_password_hash("password"),
}
@auth.verify_password
def verify_password(username, password):
if username in users and check_password_hash(users.get("username"), password):
return username
@app.route("/")
@auth.login_required
def index():
return f"You have successfully logged in, {auth.current_user()}"
if __name__ == "__main__":
app.run()
资源
- IETF:“基本”HTTP 身份验证方案
- 使用烧瓶进行 RESTful 身份验证
- DRF 基本身份验证指南
- FastAPI 基本身份验证示例
HTTP 摘要式身份验证
HTTP 摘要式身份验证(或摘要式访问身份验证)是 HTTP 基本身份验证的一种更安全的形式。主要区别在于密码以MD5散列形式发送,而不是以纯文本形式发送,因此它比基本身份验证更安全。
流程
- 未经身份验证的客户端请求受限资源
- 服务器生成一个名为 nonce 的随机值,并发回 HTTP 401 未授权状态,其标头的值与 nonce 一起为:
WWW-AuthenticateDigestWWW-Authenticate: Digest nonce="44f0437004157342f50f935906ad46fc"
- 标头会导致浏览器显示用户名和密码提示
WWW-Authenticate: Basic
- 输入凭据后,密码将被散列,然后与每个请求的随机数一起发送到标头中:
Authorization: Digest username="username", nonce="16e30069e45a7f47b4e2606aeeb7ab62", response="89549b93e13d438cd0946c6d93321c52"
- 使用用户名,服务器获取密码,将其与随机数一起散列,然后验证散列是否相同
优点
- 比基本身份验证更安全,因为密码不是以纯文本形式发送的。
- 易于实施。
- 所有主流浏览器都支持。
缺点
- 必须随每个请求一起发送凭据。
- 用户只能通过使用无效凭据重写凭据来注销。
- 与基本身份验证相比,由于无法使用bcrypt,因此服务器上的密码安全性较低。
- 容易受到中间人攻击。
包
- Flask-HTTPAuth
代码
Flask-HTTP 包也支持摘要式 HTTP 身份验证。
代码语言:javascript复制from flask import Flask
from flask_httpauth import HTTPDigestAuth
app = Flask(__name__)
app.config["SECRET_KEY"] = "change me"
auth = HTTPDigestAuth()
users = {
"username": "password"
}
@auth.get_password
def get_user(username):
if username in users:
return users.get(username)
@app.route("/")
@auth.login_required
def index():
return f"You have successfully logged in, {auth.current_user()}"
if __name__ == "__main__":
app.run()
资源
- IETF: HTTP Digest Access Authentication
- 请求库中的摘要式身份验证
基于会话的身份验证
使用基于会话的身份验证(或会话 Cookie 身份验证或基于 Cookie 的身份验证),用户的状态存储在服务器上。它不要求用户在每个请求中提供用户名或密码。相反,在登录后,服务器将验证凭据。如果有效,它将生成一个会话,将其存储在会话存储中,然后将会话 ID 发送回浏览器。浏览器将会话ID存储为cookie,每当向服务器发出请求时,就会发送该cookie。
基于会话的身份验证是有状态的。每次客户端请求服务器时,服务器都必须在内存中找到会话,以便将会话 ID 绑定回关联的用户。
流程
优点
- 更快的后续登录,因为不需要凭据。
- 改进的用户体验。
- 相当容易实现。许多框架(如Django)开箱即用地提供了此功能。
缺点
- 它是有状态的。服务器跟踪服务器端的每个会话。用于存储用户会话信息的会话存储需要在多个服务之间共享才能启用身份验证。因此,它不适用于RESTful服务,因为REST是一种无状态协议。
- Cookie 随每个请求一起发送,即使它不需要身份验证
- 容易受到 CSRF 攻击。在此处阅读有关CSRF以及如何在Flask中预防CSRF的更多信息。
包
- 烧瓶-登录
- Flask-HTTPAuth
- Django中的用户身份验证
- 快速API登录
- FastAPI-Users
代码
Flask-Login非常适合基于会话的身份验证。该软件包负责登录,注销,并且可以记住用户一段时间。
代码语言:javascript复制from flask import Flask, request
from flask_login import (
LoginManager,
UserMixin,
current_user,
login_required,
login_user,
)
from werkzeug.security import generate_password_hash, check_password_hash
app = Flask(__name__)
app.config.update(
SECRET_KEY="change_this_key",
)
login_manager = LoginManager()
login_manager.init_app(app)
users = {
"username": generate_password_hash("password"),
}
class User(UserMixin):
...
@login_manager.user_loader
def user_loader(username: str):
if username in users:
user_model = User()
user_model.id = username
return user_model
return None
@app.route("/login", methods=["POST"])
def login_page():
data = request.get_json()
username = data.get("username")
password = data.get("password")
if username in users:
if check_password_hash(users.get(username), password):
user_model = User()
user_model.id = username
login_user(user_model)
else:
return "Wrong credentials"
return "logged in"
@app.route("/")
@login_required
def protected():
return f"Current user: {current_user.id}"
if __name__ == "__main__":
app.run()
资源
- IETF:基于 Cookie 的 HTTP 身份验证
- 如何使用 Flask 登录为您的应用程序添加身份验证
- 基于会话的身份验证,带 Flask,适用于单页应用
- 烧瓶中的CSRF保护
- Django 登录和注销教程
- Django 基于会话的单页应用身份验证
- FastAPI-Users: Cookie Auth
基于令牌的身份验证
此方法使用令牌(而不是 Cookie)对用户进行身份验证。用户使用有效凭据进行身份验证,服务器返回签名令牌。此令牌可用于后续请求。
最常用的令牌是 JSON Web 令牌 (JWT)。JWT由三部分组成:
- 标头(包括令牌类型和使用的哈希算法)
- 有效负载(包括声明,即有关主题的语句)
- 签名(用于验证邮件在此过程中是否未更改)
这三种都是 base64 编码的,并使用 a 和散列进行串联。由于它们是编码的,因此任何人都可以解码和读取消息。但只有真实用户才能生成有效的签名令牌。令牌使用签名进行身份验证,签名是使用私钥签名的。.
JSON Web 令牌 (JWT) 是一种紧凑的 URL 安全方法,用于表示要在双方之间传输的声明。JWT 中的声明被编码为 JSON 对象,该对象用作 JSON Web 签名 (JWS) 结构的有效负载或 JSON Web 加密 (JWE) 结构的明文,从而使声明能够使用消息身份验证代码 (MAC) 进行数字签名或完整性保护和/或加密。- IETF
令牌不需要保存在服务器端。只需使用其签名即可对其进行验证。最近,由于RESTful API和单页应用程序(SPA)的兴起,令牌采用率有所增加。
流程
优点
- 它是无状态的。服务器不需要存储令牌,因为它可以使用签名进行验证。这使得请求速度更快,因为不需要数据库查找。
- 适用于多个服务需要身份验证的微服务体系结构。我们需要在每一端配置的是如何处理令牌和令牌密钥。
缺点
- 根据令牌在客户端上的保存方式,它可能导致 XSS(通过 localStorage)或 CSRF(通过 cookie)攻击。
- 无法删除令牌。它们只能过期。这意味着,如果令牌泄露,攻击者可能会滥用它直到到期。因此,将令牌到期时间设置为非常小的时间(如 15 分钟)非常重要。
- 需要将刷新令牌设置为在到期时自动颁发令牌。
- 删除令牌的一种方法是创建一个数据库,用于将令牌列入黑名单。这增加了微服务体系结构的额外开销,并引入了状态。
包
- 烧瓶-JWT-扩展
- Flask-HTTPAuth
- Simple JWT for Django REST Framework
- FastAPI JWT Auth
代码
Flask-JWT扩展包为处理JWT提供了许多可能性。
代码语言:javascript复制from flask import Flask, request, jsonify
from flask_jwt_extended import (
JWTManager,
jwt_required,
create_access_token,
get_jwt_identity,
)
from werkzeug.security import check_password_hash, generate_password_hash
app = Flask(__name__)
app.config.update(
JWT_SECRET_KEY="please_change_this",
)
jwt = JWTManager(app)
users = {
"username": generate_password_hash("password"),
}
@app.route("/login", methods=["POST"])
def login_page():
username = request.json.get("username")
password = request.json.get("password")
if username in users:
if check_password_hash(users.get(username), password):
access_token = create_access_token(identity=username)
return jsonify(access_token=access_token), 200
return "Wrong credentials", 400
@app.route("/")
@jwt_required
def protected():
return jsonify(logged_in_as=get_jwt_identity()), 200
if __name__ == "__main__":
app.run()
资源
- JSON 网络令牌简介
- IETF: JSON Web Token (JWT)
- 如何将 JWT 身份验证与 Django REST 框架结合使用
- 使用基于 JWT 令牌的身份验证保护 FastAPI
- 智威汤逊身份验证最佳实践
一次性密码
一次性密码 (OTP) 通常用作身份验证的确认。OTP是随机生成的代码,可用于验证用户是否是他们声称的身份。它通常在用户凭据验证后用于利用双重身份验证的应用。
要使用 OTP,必须存在受信任的系统。此受信任的系统可以是经过验证的电子邮件或手机号码。
现代OTP是无国籍的。可以使用多种方法验证它们。虽然有几种不同类型的OTP,但基于时间的OTP(TOTP)可以说是最常见的类型。生成后,它们将在一段时间后过期。
由于您可以获得额外的安全层,因此建议将OTP用于涉及高度敏感数据的应用程序,例如网上银行和其他金融服务。
流程
实施OTP的传统方式:
- 客户端发送用户名和密码
- 凭据验证后,服务器生成随机代码,将其存储在服务器端,并将代码发送到受信任的系统
- 用户在受信任的系统上获取代码,然后将其输入回 Web 应用
- 服务器根据存储的代码验证代码,并相应地授予访问权限
TOTP的工作原理:
- 客户端发送用户名和密码
- 凭据验证后,服务器使用随机生成的种子生成随机代码,将种子存储在服务器端,并将代码发送到受信任的系统
- 用户在受信任的系统上获取代码,然后将其输入回 Web 应用
- 服务器根据存储的种子验证代码,确保它没有过期,并相应地授予访问权限
GOOGLE Authenticator、Microsoft Authenticator 和 FreeOTP 等 OTP 代理的工作原理:
- 注册双因素身份验证(2FA)后,服务器会生成一个随机种子值,并以唯一QR码的形式将种子发送给用户
- 用户使用其2FA应用程序扫描QR码以验证受信任的设备
- 每当需要 OTP 时,用户都会在其设备上检查代码,并在 Web 应用上输入该代码
- 服务器验证代码并相应地授予访问权限
优点
- 添加额外的保护层。
- 没有被盗密码可用于同时实施OTP的多个站点或服务的危险。
缺点
- 您需要存储用于生成 OTP 的种子。
- 如果您丢失了恢复代码,则很难再次设置像Google身份验证器这样的OTP代理。
- 当受信任的设备不可用时会出现问题(电池没电,网络错误等)。因此,通常需要备份设备,这会增加额外的攻击媒介。
包
- PyOTP - Python 一次性密码库
- django-otp
代码
PyOTP 软件包提供基于时间和基于计数器的 OTP。
代码语言:javascript复制from time import sleep
import pyotp
if __name__ == "__main__":
otp = pyotp.TOTP(pyotp.random_base32())
code = otp.now()
print(f"OTP generated: {code}")
print(f"Verify OTP: {otp.verify(code)}")
sleep(30)
print(f"Verify after 30s: {otp.verify(code)}")
例:
代码语言:javascript复制OTP generated: 474771
Verify OTP: True
Verify after 30s: False
资源
- IETF:TOTP:基于时间的一次性密码算法
- IETF:一次性密码系统
- 实现2FA:基于时间的一次性密码实际工作原理(使用Python示例)
OAuth 和 OpenID
OAuth/OAuth2 和 OpenID 分别是授权和身份验证的流行形式。它们用于实现社交登录,这是一种单点登录(SSO)形式,使用来自社交网络服务(如Facebook,Twitter或Google)的现有信息登录到第三方网站,而不是专门为该网站创建新的登录帐户。
当您需要进行高度安全的身份验证时,可以使用此类型的身份验证和授权。其中一些提供商拥有足够的资源来投资身份验证本身。利用这种久经考验的身份验证系统最终可以使您的应用程序更加安全。
此方法通常与基于会话的身份验证结合使用。
流程
您访问的网站需要您登录。您导航到登录页面,并看到一个名为“使用Google登录”的按钮。您点击该按钮,它会将您带到Google登录页面。通过身份验证后,系统会将您重定向回自动登录的网站。这是使用 OpenID 进行身份验证的示例。它允许您使用现有帐户(通过OpenID提供程序)进行身份验证,而无需创建新帐户。
最著名的OpenID提供商是Google,Facebook,Twitter和GitHub。
登录后,您可以导航到网站内的下载服务,该服务可让您将大文件直接下载到Google云端硬盘。网站如何访问您的 Google 云端硬盘?这就是OAuth发挥作用的地方。您可以授予访问其他网站上的资源的权限。在这种情况下,请以写入权限访问 Google 云端硬盘。
优点
- 提高了安全性。
- 更简单、更快速地登录流程,因为无需创建和记住用户名或密码。
- 如果发生安全漏洞,不会发生第三方损坏,因为身份验证是无密码的。
缺点
- 你的应用程序现在依赖于另一个应用,不受你的控制。如果 OpenID 系统已关闭,用户将无法登录。
- 人们通常倾向于忽略 OAuth 应用程序请求的权限。
- 在已配置的 OpenID 提供程序上没有帐户的用户将无法访问您的应用程序。最好的方法是同时实现两者 - 例如,用户名和密码以及OpenID - 并让用户选择。
包
想要实施社交登录?
- 自用
- Python Social Auth
- 烧瓶舞
- django-allauth
想要运行自己的 OAuth 或 OpenID 服务?
- 奥斯利布
- OAuthLib
- Flask-OAuthlib
- Django OAuth Toolkit
- Django OIDC Provider
- FastAPI:带有密码和持有者的简单 OAuth2
- FastAPI:带密码(和哈希)的 OAuth2,带 JWT 令牌的持有者
代码
您可以使用 Flask-Dance 实现 GitHub 社交身份验证。
代码语言:javascript复制from flask import Flask, url_for, redirect
from flask_dance.contrib.github import make_github_blueprint, github
app = Flask(__name__)
app.secret_key = "change me"
app.config["GITHUB_OAUTH_CLIENT_ID"] = "1aaf1bf583d5e425dc8b"
app.config["GITHUB_OAUTH_CLIENT_SECRET"] = "dee0c5bc7e0acfb71791b21ca459c008be992d7c"
github_blueprint = make_github_blueprint()
app.register_blueprint(github_blueprint, url_prefix="/login")
@app.route("/")
def index():
if not github.authorized:
return redirect(url_for("github.login"))
resp = github.get("/user")
assert resp.ok
return f"You have successfully logged in, {resp.json()['login']}"
if __name__ == "__main__":
app.run()
资源
- OAuth 和 OpenID Connect 的图解指南
- OAuth 2.0 和 OpenID Connect 简介
- 使用谷歌登录创建一个烧瓶应用程序
- Django-allauth Tutorial
- FastAPI — Google 作为外部身份验证提供商
结论
在本文中,我们研究了许多不同的Web身份验证方法,所有这些方法都有自己的优点和缺点。
什么时候应该使用它们?这要视情况而定。基本经验法则:
- 对于利用服务器端模板的 Web 应用程序,通过用户名和密码进行基于会话的身份验证通常是最合适的。您也可以添加OAuth和OpenID。
- 对于 RESTful API,基于令牌的身份验证是推荐的方法,因为它是无状态的。
- 如果必须处理高度敏感的数据,则可能需要将 OTP 添加到身份验证流中。
最后,请记住,显示的示例只是触及表面。生产使用需要进一步的配置。