token的介绍和用python 生成t

基本概念

Token 的中文意思是“令牌”。主要用来身份验证。 Facebook，Twitter，Google+，GitHub 等大型网站都在使用。比起传统的身份验证方法，Token 有扩展性强，安全性高的特点，非常适合用在 WEB 应用或者移动应用上。

验证方法

使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：

1.       客户端使用用户名跟密码请求登录

2.       服务端收到请求，去验证用户名与密码

3.       验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端

4.       客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里

5.       客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

6.       服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

python常用Token生成方法

1. binascii.b2a_base64(os.urandom(24))[:-1]

使用举例：

>>> import binascii

>>> import os

>>>binascii.b2a_base64(os.urandom(24))[:-1]

b'J1pJPotQJb6Ld+yBKDq8bqcJ71wXw+Xd'

这种算法的优点是性能快， 缺点是有特殊字符， 需要加replace 来做处理。

1. sha1(os.urandom(24)).hexdigest()

使用举例：

>>> import hashlib

>>> import os

>>> hashlib.sha1(os.urandom(24)).hexdigest()

'21b7253943332d0237a720701bcb8161b82db776'

这种算法的优点是安全，不需要做特殊处理。缺点是覆盖范围差一些。

 

1. uuid4().hex

使用举例：

>>> import os

>>> import uuid

>>> uuid.uuid4().hex

'c58a80d3b7864b0686757b95e9626e47'

Uuid使用起来比较方便， 缺点为安全性略差一些。

1. base64.b32encode(os.urandom(20))/base64.b64encode(os.urandom(24))

   >>> import base64

   >>> import os

   >>>base64.b32encode(os.urandom(20))

   b'NJMTBMOYIXHNRATTOTVONT4BXJAC25TX'

   >>>base64.b64encode(os.urandom(24))

   b'l1eU6UzSlWsowm8M8lH5VaFhZEAQ4kQj'

特别说明：

1.   可以用base64的地方，选择 binascii.b2a_base64 是不错的选择 —— 根据W3的SessionID的字串中对identifier的定义，SessionID中使用的是base64，但在Cookie的值内使用需要注意“=”这个特殊字符的存在；

2.   如果要安全字符（字母数字），SHA1也是一个不错的选择，性能也不错；