Реализация безопасной аутентификации является критически важным аспектом при создании надежных клиент-серверных систем на Python. Этот учебник проведет вас через процесс реализации аутентификации в ваших Python-приложениях, начиная с базовой аутентификации по имени пользователя и паролю и переходя к методам на основе токенов. К концу этой лабораторной работы вы поймете, как защитить свои Python-приложения с помощью надлежащих механизмов аутентификации.
Аутентификация (Authentication) – это процесс проверки личности пользователя или системы перед предоставлением доступа к защищенным ресурсам. В клиент-серверных системах надлежащая аутентификация гарантирует, что только авторизованные пользователи могут получить доступ к конфиденциальным данным или выполнять определенные операции.
Давайте начнем с настройки нашей рабочей среды. Сначала создайте новый каталог для нашего проекта:
mkdir -p ~/project/auth_demo
cd ~/project/auth_demoДалее нам нужно установить необходимые пакеты Python, которые мы будем использовать на протяжении всей этой лабораторной работы:
pip install flask flask-login requestsВы должны увидеть вывод, похожий на этот:
Collecting flask
Downloading Flask-2.2.3-py3-none-any.whl (101 kB)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 101.8/101.8 KB 6.2 MB/s eta 0:00:00
Collecting flask-login
Downloading Flask_Login-0.6.2-py3-none-any.whl (17 kB)
Collecting requests
Downloading requests-2.29.0-py3-none-any.whl (62 kB)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 62.5/62.5 KB 5.5 MB/s eta 0:00:00
...
Successfully installed flask-2.2.3 flask-login-0.6.2 requests-2.29.0 ...Прежде чем углубляться в реализацию, давайте разберемся с основными концепциями аутентификации:
Аутентификация по имени пользователя и паролю: Наиболее распространенная форма, когда пользователи предоставляют учетные данные для подтверждения своей личности.
Аутентификация на основе токенов (Token-based Authentication): После успешного входа в систему сервер генерирует токен для клиента, который он будет использовать в последующих запросах, избегая необходимости отправлять учетные данные каждый раз.
Аутентификация на основе сессий (Session-based Authentication): Сервер хранит информацию о сессии после успешного входа в систему и предоставляет идентификатор сессии клиенту.
Давайте визуализируем базовый поток аутентификации:
Client Server
| |
|--- Login Request (credentials) ---->|
| |--- Verify Credentials
| |
|<---- Authentication Response -------|
| |
|--- Subsequent Requests (with auth) >|
| |--- Verify Auth
| |
|<---- Protected Resource Response ---|Теперь, когда мы понимаем основы и настроили нашу среду, давайте создадим простую структуру файлов для нашего проекта:
touch ~/project/auth_demo/server.py
touch ~/project/auth_demo/client.pyНа следующем этапе мы реализуем базовую систему аутентификации по имени пользователя и паролю, используя Flask на стороне сервера, и клиент Python для аутентификации с ним.
На этом этапе мы реализуем базовую систему аутентификации, использующую имена пользователей и пароли. Мы создадим:
Давайте реализуем наш сервер Flask с базовыми возможностями аутентификации. Откройте файл server.py в редакторе VSCode:
code ~/project/auth_demo/server.pyТеперь добавьте следующий код для реализации простого сервера аутентификации:
from flask import Flask, request, jsonify, session
import os
app = Flask(__name__)
## Generate a random secret key for session management
app.secret_key = os.urandom(24)
## Simple in-memory user database
users = {
"alice": "password123",
"bob": "qwerty456"
}
@app.route('/login', methods=['POST'])
def login():
data = request.get_json()
## Extract username and password from the request
username = data.get('username')
password = data.get('password')
## Check if the user exists and the password is correct
if username in users and users[username] == password:
session['logged_in'] = True
session['username'] = username
return jsonify({"status": "success", "message": f"Welcome {username}!"})
else:
return jsonify({"status": "error", "message": "Invalid credentials"}), 401
@app.route('/protected', methods=['GET'])
def protected():
## Check if the user is logged in
if session.get('logged_in'):
return jsonify({
"status": "success",
"message": f"You are viewing protected content, {session.get('username')}!"
})
else:
return jsonify({"status": "error", "message": "Authentication required"}), 401
@app.route('/logout', methods=['POST'])
def logout():
## Remove session data
session.pop('logged_in', None)
session.pop('username', None)
return jsonify({"status": "success", "message": "Logged out successfully"})
if __name__ == '__main__':
app.run(host='0.0.0.0', port=5000, debug=True)Этот сервер:
Теперь давайте создадим клиент, который может аутентифицироваться с нашим сервером. Откройте файл client.py:
code ~/project/auth_demo/client.pyДобавьте следующий код:
import requests
import json
## Server URL
BASE_URL = "http://localhost:5000"
def login(username, password):
"""Authenticate with the server using username and password"""
response = requests.post(
f"{BASE_URL}/login",
json={"username": username, "password": password}
)
print(f"Login response: {response.status_code}")
print(response.json())
## Return the session cookies if login was successful
return response.cookies if response.status_code == 200 else None
def access_protected(cookies=None):
"""Access a protected resource"""
response = requests.get(f"{BASE_URL}/protected", cookies=cookies)
print(f"Protected resource response: {response.status_code}")
print(response.json())
return response
def logout(cookies=None):
"""Logout from the server"""
response = requests.post(f"{BASE_URL}/logout", cookies=cookies)
print(f"Logout response: {response.status_code}")
print(response.json())
return response
if __name__ == "__main__":
## Test with valid credentials
print("=== Authenticating with valid credentials ===")
cookies = login("alice", "password123")
if cookies:
print("\n=== Accessing protected resource ===")
access_protected(cookies)
print("\n=== Logging out ===")
logout(cookies)
## Test with invalid credentials
print("\n=== Authenticating with invalid credentials ===")
login("alice", "wrongpassword")
## Try to access protected resource without authentication
print("\n=== Accessing protected resource without authentication ===")
access_protected()Этот клиент:
Чтобы увидеть нашу систему аутентификации в действии, нам нужно запустить и сервер, и клиент. Сначала давайте запустим сервер:
python ~/project/auth_demo/server.pyВы должны увидеть вывод, похожий на этот:
* Serving Flask app 'server'
* Debug mode: on
WARNING: This is a development server. Do not use it in a production deployment.
* Running on all addresses (0.0.0.0)
* Running on http://127.0.0.1:5000Теперь откройте новую вкладку терминала, нажав кнопку "+" рядом с терминалом, и запустите клиент:
cd ~/project/auth_demo
python client.pyВы должны увидеть вывод, демонстрирующий:
Этот вывод подтверждает, что наша базовая система аутентификации по имени пользователя и паролю работает правильно.
На следующем этапе мы улучшим эту систему, реализовав аутентификацию на основе токенов для повышения безопасности.
На предыдущем шаге мы создали базовую систему аутентификации, использующую сессии. Хотя это работает для простых приложений, аутентификация на основе токенов предлагает несколько преимуществ, особенно для API и распределенных систем.
В аутентификации на основе токенов:
Давайте обновим нашу систему, чтобы использовать JSON Web Tokens (JWT), популярный стандарт для аутентификации на основе токенов.
Сначала нам нужно установить пакет PyJWT:
pip install pyjwtВы должны увидеть вывод, подтверждающий установку:
Collecting pyjwt
Downloading PyJWT-2.6.0-py3-none-any.whl (20 kB)
Installing collected packages: pyjwt
Successfully installed pyjwt-2.6.0Давайте изменим наш сервер, чтобы использовать токены JWT вместо сессий. Обновите файл server.py:
code ~/project/auth_demo/server.pyЗамените существующий код на:
from flask import Flask, request, jsonify
import jwt
import datetime
import os
app = Flask(__name__)
## Secret key for signing JWT tokens
SECRET_KEY = os.urandom(24)
## Simple in-memory user database
users = {
"alice": "password123",
"bob": "qwerty456"
}
def generate_token(username):
"""Generate a JWT token for the authenticated user"""
## Token expires after 30 minutes
expiration = datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
payload = {
'username': username,
'exp': expiration
}
## Create the JWT token
token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
return token
def verify_token(token):
"""Verify the JWT token"""
try:
## Decode and verify the token
payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
return payload
except jwt.ExpiredSignatureError:
## Token has expired
return None
except jwt.InvalidTokenError:
## Invalid token
return None
@app.route('/login', methods=['POST'])
def login():
data = request.get_json()
## Extract username and password from the request
username = data.get('username')
password = data.get('password')
## Check if the user exists and the password is correct
if username in users and users[username] == password:
## Generate a JWT token
token = generate_token(username)
return jsonify({
"status": "success",
"message": f"Welcome {username}!",
"token": token
})
else:
return jsonify({"status": "error", "message": "Invalid credentials"}), 401
@app.route('/protected', methods=['GET'])
def protected():
## Get the token from the Authorization header
auth_header = request.headers.get('Authorization')
if not auth_header or not auth_header.startswith('Bearer '):
return jsonify({"status": "error", "message": "Missing or invalid token"}), 401
## Extract the token
token = auth_header.split(' ')[1]
## Verify the token
payload = verify_token(token)
if payload:
return jsonify({
"status": "success",
"message": f"You are viewing protected content, {payload['username']}!"
})
else:
return jsonify({"status": "error", "message": "Invalid or expired token"}), 401
if __name__ == '__main__':
app.run(host='0.0.0.0', port=5000, debug=True)Этот обновленный сервер:
Теперь давайте обновим наш клиент, чтобы использовать токены JWT. Обновите файл client.py:
code ~/project/auth_demo/client.pyЗамените существующий код на:
import requests
import json
## Server URL
BASE_URL = "http://localhost:5000"
def login(username, password):
"""Authenticate with the server using username and password"""
response = requests.post(
f"{BASE_URL}/login",
json={"username": username, "password": password}
)
print(f"Login response: {response.status_code}")
data = response.json()
print(data)
## Return the token if login was successful
return data.get('token') if response.status_code == 200 else None
def access_protected(token=None):
"""Access a protected resource using JWT token"""
headers = {}
if token:
headers['Authorization'] = f'Bearer {token}'
response = requests.get(f"{BASE_URL}/protected", headers=headers)
print(f"Protected resource response: {response.status_code}")
print(response.json())
return response
if __name__ == "__main__":
## Test with valid credentials
print("=== Authenticating with valid credentials ===")
token = login("alice", "password123")
if token:
print("\n=== Accessing protected resource with valid token ===")
access_protected(token)
## Test with invalid credentials
print("\n=== Authenticating with invalid credentials ===")
login("alice", "wrongpassword")
## Try to access protected resource without token
print("\n=== Accessing protected resource without token ===")
access_protected()
## Try to access protected resource with invalid token
print("\n=== Accessing protected resource with invalid token ===")
access_protected("invalid.token.value")Этот обновленный клиент:
Теперь давайте запустим нашу обновленную систему аутентификации на основе токенов. Сначала остановите все запущенные процессы сервера с помощью Ctrl+C, затем запустите обновленный сервер:
python ~/project/auth_demo/server.pyОткройте новую вкладку терминала или используйте существующую вторую вкладку для запуска клиента:
cd ~/project/auth_demo
python client.pyВы должны увидеть вывод, демонстрирующий:
Этот вывод подтверждает, что наша система аутентификации на основе токенов работает правильно.
Аутентификация на основе токенов предлагает несколько преимуществ по сравнению с аутентификацией на основе сессий:
В реальных приложениях вы можете захотеть дополнительно улучшить свою систему аутентификации с помощью таких функций, как обновление токенов, контроль доступа на основе ролей и безопасное хранение токенов.
В наших предыдущих реализациях мы хранили пароли в виде обычного текста, что представляет собой значительный риск для безопасности. На этом этапе мы улучшим нашу систему аутентификации, внедрив хэширование паролей с использованием алгоритма bcrypt.
Хранение паролей в виде обычного текста создает несколько рисков для безопасности:
Хэширование паролей решает эти проблемы путем:
Сначала нам нужно установить пакет bcrypt:
pip install bcryptВы должны увидеть вывод, подтверждающий установку:
Collecting bcrypt
Downloading bcrypt-4.0.1-cp36-abi3-manylinux_2_28_x86_64.whl (593 kB)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 593.8/593.8 KB 10.5 MB/s eta 0:00:00
Installing collected packages: bcrypt
Successfully installed bcrypt-4.0.1Давайте улучшим наш сервер, чтобы включить регистрацию пользователей с хэшированием паролей. Обновите файл server.py:
code ~/project/auth_demo/server.pyЗамените существующий код на:
from flask import Flask, request, jsonify
import jwt
import datetime
import os
import bcrypt
app = Flask(__name__)
## Secret key for signing JWT tokens
SECRET_KEY = os.urandom(24)
## Store users as a dictionary with username as key and a dict of hashed password and roles as value
users = {}
def hash_password(password):
"""Hash a password using bcrypt"""
## Convert password to bytes if it's a string
if isinstance(password, str):
password = password.encode('utf-8')
## Generate a salt and hash the password
salt = bcrypt.gensalt()
hashed = bcrypt.hashpw(password, salt)
return hashed
def check_password(password, hashed):
"""Verify a password against its hash"""
## Convert password to bytes if it's a string
if isinstance(password, str):
password = password.encode('utf-8')
## Check if the password matches the hash
return bcrypt.checkpw(password, hashed)
def generate_token(username, role):
"""Generate a JWT token for the authenticated user"""
## Token expires after 30 minutes
expiration = datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
payload = {
'username': username,
'role': role,
'exp': expiration
}
## Create the JWT token
token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
return token
def verify_token(token):
"""Verify the JWT token"""
try:
## Decode and verify the token
payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
return payload
except jwt.ExpiredSignatureError:
## Token has expired
return None
except jwt.InvalidTokenError:
## Invalid token
return None
@app.route('/register', methods=['POST'])
def register():
data = request.get_json()
## Extract registration data
username = data.get('username')
password = data.get('password')
## Basic validation
if not username or not password:
return jsonify({"status": "error", "message": "Username and password are required"}), 400
## Check if the username already exists
if username in users:
return jsonify({"status": "error", "message": "Username already exists"}), 409
## Hash the password and store the user
hashed_password = hash_password(password)
users[username] = {
'password': hashed_password,
'role': 'user' ## Default role
}
return jsonify({
"status": "success",
"message": f"User {username} registered successfully"
})
@app.route('/login', methods=['POST'])
def login():
data = request.get_json()
## Extract username and password from the request
username = data.get('username')
password = data.get('password')
## Check if the user exists
if username not in users:
return jsonify({"status": "error", "message": "Invalid credentials"}), 401
## Check if the password is correct
if check_password(password, users[username]['password']):
## Generate a JWT token
token = generate_token(username, users[username]['role'])
return jsonify({
"status": "success",
"message": f"Welcome {username}!",
"token": token
})
else:
return jsonify({"status": "error", "message": "Invalid credentials"}), 401
@app.route('/protected', methods=['GET'])
def protected():
## Get the token from the Authorization header
auth_header = request.headers.get('Authorization')
if not auth_header or not auth_header.startswith('Bearer '):
return jsonify({"status": "error", "message": "Missing or invalid token"}), 401
## Extract the token
token = auth_header.split(' ')[1]
## Verify the token
payload = verify_token(token)
if payload:
return jsonify({
"status": "success",
"message": f"You are viewing protected content, {payload['username']}!",
"role": payload['role']
})
else:
return jsonify({"status": "error", "message": "Invalid or expired token"}), 401
@app.route('/admin', methods=['GET'])
def admin():
## Get the token from the Authorization header
auth_header = request.headers.get('Authorization')
if not auth_header or not auth_header.startswith('Bearer '):
return jsonify({"status": "error", "message": "Missing or invalid token"}), 401
## Extract the token
token = auth_header.split(' ')[1]
## Verify the token
payload = verify_token(token)
if not payload:
return jsonify({"status": "error", "message": "Invalid or expired token"}), 401
## Check if user has admin role
if payload['role'] != 'admin':
return jsonify({"status": "error", "message": "Admin access required"}), 403
return jsonify({
"status": "success",
"message": f"Welcome to the admin panel, {payload['username']}!"
})
## Add an admin user for testing
admin_password = hash_password("admin123")
users["admin"] = {
'password': admin_password,
'role': 'admin'
}
if __name__ == '__main__':
app.run(host='0.0.0.0', port=5000, debug=True)Этот улучшенный сервер:
Теперь давайте обновим наш клиент, чтобы протестировать эти новые функции. Обновите файл client.py:
code ~/project/auth_demo/client.pyЗамените существующий код на:
import requests
import json
## Server URL
BASE_URL = "http://localhost:5000"
def register(username, password):
"""Register a new user"""
response = requests.post(
f"{BASE_URL}/register",
json={"username": username, "password": password}
)
print(f"Registration response: {response.status_code}")
print(response.json())
return response.status_code == 200
def login(username, password):
"""Authenticate with the server using username and password"""
response = requests.post(
f"{BASE_URL}/login",
json={"username": username, "password": password}
)
print(f"Login response: {response.status_code}")
data = response.json()
print(data)
## Return the token if login was successful
return data.get('token') if response.status_code == 200 else None
def access_protected(token=None):
"""Access a protected resource using JWT token"""
headers = {}
if token:
headers['Authorization'] = f'Bearer {token}'
response = requests.get(f"{BASE_URL}/protected", headers=headers)
print(f"Protected resource response: {response.status_code}")
print(response.json())
return response
def access_admin(token=None):
"""Access the admin panel using JWT token"""
headers = {}
if token:
headers['Authorization'] = f'Bearer {token}'
response = requests.get(f"{BASE_URL}/admin", headers=headers)
print(f"Admin panel response: {response.status_code}")
print(response.json())
return response
if __name__ == "__main__":
## Test user registration
print("=== Registering a new user ===")
register("testuser", "testpass123")
## Try to register with the same username (should fail)
print("\n=== Registering with existing username ===")
register("testuser", "differentpass")
## Test regular user login and access
print("\n=== Regular user login ===")
user_token = login("testuser", "testpass123")
if user_token:
print("\n=== Regular user accessing protected resource ===")
access_protected(user_token)
print("\n=== Regular user trying to access admin panel ===")
access_admin(user_token)
## Test admin login and access
print("\n=== Admin login ===")
admin_token = login("admin", "admin123")
if admin_token:
print("\n=== Admin accessing protected resource ===")
access_protected(admin_token)
print("\n=== Admin accessing admin panel ===")
access_admin(admin_token)Этот обновленный клиент:
Теперь давайте запустим нашу улучшенную систему аутентификации. Сначала остановите все запущенные процессы сервера с помощью Ctrl+C, затем запустите обновленный сервер:
python ~/project/auth_demo/server.pyОткройте новую вкладку терминала или используйте существующую вторую вкладку для запуска клиента:
cd ~/project/auth_demo
python client.pyВы должны увидеть вывод, демонстрирующий:
Этот вывод подтверждает, что наша улучшенная система аутентификации с хэшированием паролей и контролем доступа на основе ролей работает правильно.
Наша улучшенная система теперь предоставляет:
Эти улучшения делают нашу систему аутентификации гораздо более надежной и подходящей для реальных приложений.
В этой лабораторной работе вы узнали, как реализовать аутентификацию в системе клиент-сервер на Python, от базовых концепций до продвинутых методов. Вы успешно:
Эти навыки обеспечивают прочную основу для создания безопасных приложений на Python. Помните, что аутентификация — это лишь один аспект безопасности приложений — в производственных системах вам также следует учитывать:
Применяя эти принципы, вы сможете создавать приложения на Python, которые эффективно защищают данные пользователей и поддерживают безопасную работу.
