这是我这两天的思考
早知道密码学的课就不旷那么多了
纯个人见解
如需转载,标记出处
目录
[1.ImportError: cannot import name 'TimedJSONWebSignatureSerializer' from 'itsdangerous'](#1.ImportError: cannot import name ‘TimedJSONWebSignatureSerializer‘ from ‘itsdangerous‘)
[解决方法一:降级 itsdangerous 到 1.1.0(我自己用的这个)](#解决方法一:降级 itsdangerous 到 1.1.0(我自己用的这个))
[解决方法二:使用 URLSafeTimedSerializer 替代](#解决方法二:使用 URLSafeTimedSerializer 替代)
一、官网介绍
ItsDangerous --- ItsDangerous Documentation (2.2.x)
有时,你需要将一些数据发送到不受信任的环境,再将其取回。为了安全,必须对数据进行签名以检测更改。
有了只有你知道的密钥,你就可以对数据进行加密签名并将其交给其他人。取回数据时,可以确保没有人篡改它。
接收方可以看到数据,但除非他们也有你的密钥,否则无法改数据。
必须将密钥保密且复杂
安装
pip install -U itsdangerous
二、事例代码
只截取部分分析代码
1.加解密工具
python
#加密
def generic_openid(openid):
s = Serializer(secret_key=settings.SECRET_KEY, expires_in=3600)
access_token = s.dumps({'openid': openid})
# 将bytes类型的数据转换为 str
return access_token.decode()
# 解密
def check_access_token(token):
s = Serializer(secret_key=settings.SECRET_KEY, expires_in=3600)
try:
result=s.loads(token)
except Exception:
return None
else:
return result.get('openid')2.功能(判断用户是否绑定,如果没有绑定,hash加密openid生成token给前端,前端收集用户填写的信息,传输时把用户信息+token一起传递给后端
python
#根据openid进行查询判断用户是否已经绑定
try:
qquser = OAuthQQUser.objects.get(openid=openid)
except OAuthQQUser.DoesNotExist:
# 不存在
# 5. 如果没有绑定过,则需要绑定
access_token = makeToken(openid,3600)
#前端拿着这个凭证去进行绑定
response = JsonResponse({'code': 400, 'access_token': access_token})
return response
else:
# 存在
#如果绑定过,则直接登录我认为这里的token是一个hash算法生成的签名+原数据的拼接,它在前端解不开,只能在我的后端解开,这个功能就是为了给前端一个通行证,你可以把自己的用户信息比如邮箱绑定发给我,我后端根据返回来的token来验证是否这个绑定是我想给的用户本人。全程只使用一个密钥加解密,也就是对称加密
源码分析:
加密函数dump源码使用的函数如下:
dump做了两个主要工作,创建头部,生成签名
他在头部里放了这个签名有了什么算法(这里用的是默认算法,HS512)
make_signer 函数生成一个签名者对象(signer)。根据当前的 secret_key以及其他salt、algorithm来返回一个用于签名的实例
对传入的数据进行签名,返回拼接了签名的数据字符串(原始数据 + 分隔符 + 签名)
want_bytes格式化字符串,将其编码成字节
解密
这里先使用make_signer()函数获取验签用的算法
重点是这个unsign函数
它对签名过的数据进行验签,返回原始数据
signed_value: 已签名的数据= 原始数据 + 分隔符 + 签名
先判断签名格式。如果签名被篡改(格式不对),捕获异常并返回 False
将拆分下来的数据openid生成新的签名,将原先的签名和新的作比较看是都相同
关于签名:
我以为的数字签名是使用的非对称加密,我给一个文件用私钥加密做签名,传输签名+明文,别人拿我的公钥去解开查看,对比旁边的明文看受否是我本人的。但这里使用的密钥为同一个,它的加密也只是对称加密。
至此我想我应该解释清楚了整个过程,在这个学习过程中,我也生出了很多疑问,
为什么这个数字签名没有用非对称?
经过两天的思考我得到了如下的答案
itsdangerous 的主要场景只需服务端自签自验,无需公钥体系。对称加密(如 HMAC)更快、更简单。非对称签名复杂、慢、密钥管理重,反而不适合它的简单签名校验场景。
二、itsdangerousBUG汇总
1.ImportError: cannot import name 'TimedJSONWebSignatureSerializer' from 'itsdangerous'
之前都正常导入
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
今天importerror
原因:
itsdangerous 库在高版本中已经移除了 TimedJSONWebSignatureSerializer,所以导致导入失败。
TimedJSONWebSignatureSerializer 是 itsdangerous 早期版本的 API,用来生成带有效期的 token。从 itsdangerous 2.0 开始,这个类被 移除或不推荐使用 ,官方推荐使用其他方式生成/验证 token(如 URLSafeTimedSerializer)。
解决办法:
解决方法一:降级 itsdangerous 到 1.1.0(我自己用的这个)
降级 itsdangerous:
python
pip install itsdangerous==1.1.0解决方法二:使用 URLSafeTimedSerializer 替代
如果不想降级,改用推荐的新写法:
python
from itsdangerous import URLSafeTimedSerializer
# 初始化
serializer = URLSafeTimedSerializer(secret_key='your-secret-key')
# 生成
token token = serializer.dumps({'user_id': 123})
# 验证
token try: data = serializer.loads(token, max_age=3600)
# 3600秒有效期
print(data)
except Exception as e:
print('Token 验证失败:', e)