身份认证与授权深度解析从零实现 Python 用户认证管理器与 OAuth 协1. 技术分析1.1 身份认证概述身份认证是验证用户身份的过程认证方式 知识因素: 密码、PIN码 拥有因素: 令牌、手机 生物因素: 指纹、人脸 认证强度: 单因素认证 双因素认证 多因素认证1.2 授权机制授权类型 基于角色的访问控制(RBAC) 基于属性的访问控制(ABAC) 基于策略的访问控制(PBAC) 基于资源的访问控制(RBAC) 授权原则: 最小权限原则 职责分离 审计追踪1.3 SSO与OAuth单点登录协议 SAML: 安全断言标记语言 OAuth: 开放授权 OpenID Connect: 身份层 OAuth角色: 授权服务器 资源服务器 客户端 用户2. 核心功能实现2.1 用户认证管理器import hashlib import time import uuid class AuthenticationManager: def __init__(self): self.users {} self.sessions {} def register_user(self, username, password, email): if username in self.users: raise ValueError(Username already exists) salt uuid.uuid4().hex hashed_password self._hash_password(password, salt) self.users[username] { username: username, password_hash: hashed_password, salt: salt, email: email, created_at: time.time() } return True def _hash_password(self, password, salt): return hashlib.sha256((password salt).encode()).hexdigest() def authenticate(self, username, password): if username not in self.users: return False user self.users[username] expected_hash self._hash_password(password, user[salt]) if expected_hash ! user[password_hash]: return False session_id self._create_session(username) return session_id def _create_session(self, username): session_id str(uuid.uuid4()) self.sessions[session_id] { username: username, created_at: time.time(), last_access: time.time() } return session_id def validate_session(self, session_id): if session_id not in self.sessions: return None session self.sessions[session_id] if time.time() - session[last_access] 3600: del self.sessions[session_id] return None session[last_access] time.time() return session[username] def invalidate_session(self, session_id): if session_id in self.sessions: del self.sessions[session_id] return True return False2.2 角色权限管理器class RoleBasedAccessControl: def __init__(self): self.roles {} self.permissions {} def define_role(self, role_name): if role_name not in self.roles: self.roles[role_name] [] def define_permission(self, permission_name): if permission_name not in self.permissions: self.permissions[permission_name] [] def assign_permission_to_role(self, role_name, permission_name): if role_name in self.roles and permission_name in self.permissions: if permission_name not in self.roles[role_name]: self.roles[role_name].append(permission_name) def assign_role_to_user(self, username, role_name): if role_name not in self.roles: self.define_role(role_name) if username not in self.permissions: self.permissions[username] [] if role_name not in self.permissions[username]: self.permissions[username].append(role_name) def check_permission(self, username, permission_name): if username not in self.permissions: return False user_roles self.permissions[username] for role in user_roles: if role in self.roles and permission_name in self.roles[role]: return True return False def get_user_permissions(self, username): if username not in self.permissions: return [] permissions set() user_roles self.permissions[username] for role in user_roles: if role in self.roles: permissions.update(self.roles[role]) return list(permissions)2.3 OAuth客户端import requests class OAuthClient: def __init__(self, client_id, client_secret, auth_url, token_url): self.client_id client_id self.client_secret client_secret self.auth_url auth_url self.token_url token_url self.token None def get_authorization_url(self, redirect_uri, scopeopenid profile email): params { client_id: self.client_id, redirect_uri: redirect_uri, scope: scope, response_type: code } return f{self.auth_url}?{requests.compat.urlencode(params)} def exchange_code_for_token(self, code, redirect_uri): data { grant_type: authorization_code, code: code, redirect_uri: redirect_uri, client_id: self.client_id, client_secret: self.client_secret } response requests.post(self.token_url, datadata) if response.ok: self.token response.json() return self.token raise ValueError(fToken exchange failed: {response.text}) def get_user_info(self, user_info_url): if not self.token: raise ValueError(No access token available) headers { Authorization: fBearer {self.token[access_token]} } response requests.get(user_info_url, headersheaders) if response.ok: return response.json() raise ValueError(fFailed to get user info: {response.text})2.4 MFA管理器import pyotp import qrcode class MFAManager: def __init__(self): self.secrets {} def generate_secret(self, username): secret pyotp.random_base32() self.secrets[username] secret return secret def get_provisioning_uri(self, username, issuer_nameMyApp): secret self.secrets.get(username) if not secret: raise ValueError(User not found) return pyotp.totp.TOTP(secret).provisioning_uri(username, issuer_nameissuer_name) def generate_qr_code(self, username, issuer_nameMyApp): uri self.get_provisioning_uri(username, issuer_name) img qrcode.make(uri) return img def verify_code(self, username, code): secret self.secrets.get(username) if not secret: return False totp pyotp.TOTP(secret) return totp.verify(code) def disable_mfa(self, username): if username in self.secrets: del self.secrets[username] return True return False3. 性能对比3.1 认证方式对比方式安全性便捷性复杂度密码低高低短信OTP中中中TOTP高中中生物识别高高高3.2 授权模型对比模型灵活性可扩展性复杂度RBAC中中低ABAC高高高PBAC高高中3.3 SSO协议对比协议复杂度安全性适用场景SAML高高企业OAuth 2.0中高Web/MobileOIDC中高统一身份4. 最佳实践4.1 用户认证示例def authentication_example(): auth AuthenticationManager() auth.register_user(testuser, password123, testexample.com) session_id auth.authenticate(testuser, password123) print(fSession ID: {session_id}) username auth.validate_session(session_id) print(fValidated user: {username})4.2 RBAC示例def rbac_example(): rbac RoleBasedAccessControl() rbac.define_role(admin) rbac.define_role(user) rbac.define_permission(create) rbac.define_permission(read) rbac.define_permission(update) rbac.define_permission(delete) rbac.assign_permission_to_role(admin, create) rbac.assign_permission_to_role(admin, read) rbac.assign_permission_to_role(admin, update) rbac.assign_permission_to_role(admin, delete) rbac.assign_permission_to_role(user, read) rbac.assign_role_to_user(admin1, admin) rbac.assign_role_to_user(user1, user) print(fAdmin can delete: {rbac.check_permission(admin1, delete)}) print(fUser can delete: {rbac.check_permission(user1, delete)})5. 总结身份认证与授权是系统安全的基础身份认证验证用户身份角色授权控制访问权限OAuth开放授权协议MFA多因素认证对比数据如下TOTP安全性最高RBAC最常用OAuth 2.0最灵活推荐使用多因素认证身份认证与授权需要结合使用建立完整的身份管理体系。
身份认证与授权深度解析:从零实现 Python 用户认证管理器与 OAuth 协
发布时间:2026/6/23 14:32:09
身份认证与授权深度解析从零实现 Python 用户认证管理器与 OAuth 协1. 技术分析1.1 身份认证概述身份认证是验证用户身份的过程认证方式 知识因素: 密码、PIN码 拥有因素: 令牌、手机 生物因素: 指纹、人脸 认证强度: 单因素认证 双因素认证 多因素认证1.2 授权机制授权类型 基于角色的访问控制(RBAC) 基于属性的访问控制(ABAC) 基于策略的访问控制(PBAC) 基于资源的访问控制(RBAC) 授权原则: 最小权限原则 职责分离 审计追踪1.3 SSO与OAuth单点登录协议 SAML: 安全断言标记语言 OAuth: 开放授权 OpenID Connect: 身份层 OAuth角色: 授权服务器 资源服务器 客户端 用户2. 核心功能实现2.1 用户认证管理器import hashlib import time import uuid class AuthenticationManager: def __init__(self): self.users {} self.sessions {} def register_user(self, username, password, email): if username in self.users: raise ValueError(Username already exists) salt uuid.uuid4().hex hashed_password self._hash_password(password, salt) self.users[username] { username: username, password_hash: hashed_password, salt: salt, email: email, created_at: time.time() } return True def _hash_password(self, password, salt): return hashlib.sha256((password salt).encode()).hexdigest() def authenticate(self, username, password): if username not in self.users: return False user self.users[username] expected_hash self._hash_password(password, user[salt]) if expected_hash ! user[password_hash]: return False session_id self._create_session(username) return session_id def _create_session(self, username): session_id str(uuid.uuid4()) self.sessions[session_id] { username: username, created_at: time.time(), last_access: time.time() } return session_id def validate_session(self, session_id): if session_id not in self.sessions: return None session self.sessions[session_id] if time.time() - session[last_access] 3600: del self.sessions[session_id] return None session[last_access] time.time() return session[username] def invalidate_session(self, session_id): if session_id in self.sessions: del self.sessions[session_id] return True return False2.2 角色权限管理器class RoleBasedAccessControl: def __init__(self): self.roles {} self.permissions {} def define_role(self, role_name): if role_name not in self.roles: self.roles[role_name] [] def define_permission(self, permission_name): if permission_name not in self.permissions: self.permissions[permission_name] [] def assign_permission_to_role(self, role_name, permission_name): if role_name in self.roles and permission_name in self.permissions: if permission_name not in self.roles[role_name]: self.roles[role_name].append(permission_name) def assign_role_to_user(self, username, role_name): if role_name not in self.roles: self.define_role(role_name) if username not in self.permissions: self.permissions[username] [] if role_name not in self.permissions[username]: self.permissions[username].append(role_name) def check_permission(self, username, permission_name): if username not in self.permissions: return False user_roles self.permissions[username] for role in user_roles: if role in self.roles and permission_name in self.roles[role]: return True return False def get_user_permissions(self, username): if username not in self.permissions: return [] permissions set() user_roles self.permissions[username] for role in user_roles: if role in self.roles: permissions.update(self.roles[role]) return list(permissions)2.3 OAuth客户端import requests class OAuthClient: def __init__(self, client_id, client_secret, auth_url, token_url): self.client_id client_id self.client_secret client_secret self.auth_url auth_url self.token_url token_url self.token None def get_authorization_url(self, redirect_uri, scopeopenid profile email): params { client_id: self.client_id, redirect_uri: redirect_uri, scope: scope, response_type: code } return f{self.auth_url}?{requests.compat.urlencode(params)} def exchange_code_for_token(self, code, redirect_uri): data { grant_type: authorization_code, code: code, redirect_uri: redirect_uri, client_id: self.client_id, client_secret: self.client_secret } response requests.post(self.token_url, datadata) if response.ok: self.token response.json() return self.token raise ValueError(fToken exchange failed: {response.text}) def get_user_info(self, user_info_url): if not self.token: raise ValueError(No access token available) headers { Authorization: fBearer {self.token[access_token]} } response requests.get(user_info_url, headersheaders) if response.ok: return response.json() raise ValueError(fFailed to get user info: {response.text})2.4 MFA管理器import pyotp import qrcode class MFAManager: def __init__(self): self.secrets {} def generate_secret(self, username): secret pyotp.random_base32() self.secrets[username] secret return secret def get_provisioning_uri(self, username, issuer_nameMyApp): secret self.secrets.get(username) if not secret: raise ValueError(User not found) return pyotp.totp.TOTP(secret).provisioning_uri(username, issuer_nameissuer_name) def generate_qr_code(self, username, issuer_nameMyApp): uri self.get_provisioning_uri(username, issuer_name) img qrcode.make(uri) return img def verify_code(self, username, code): secret self.secrets.get(username) if not secret: return False totp pyotp.TOTP(secret) return totp.verify(code) def disable_mfa(self, username): if username in self.secrets: del self.secrets[username] return True return False3. 性能对比3.1 认证方式对比方式安全性便捷性复杂度密码低高低短信OTP中中中TOTP高中中生物识别高高高3.2 授权模型对比模型灵活性可扩展性复杂度RBAC中中低ABAC高高高PBAC高高中3.3 SSO协议对比协议复杂度安全性适用场景SAML高高企业OAuth 2.0中高Web/MobileOIDC中高统一身份4. 最佳实践4.1 用户认证示例def authentication_example(): auth AuthenticationManager() auth.register_user(testuser, password123, testexample.com) session_id auth.authenticate(testuser, password123) print(fSession ID: {session_id}) username auth.validate_session(session_id) print(fValidated user: {username})4.2 RBAC示例def rbac_example(): rbac RoleBasedAccessControl() rbac.define_role(admin) rbac.define_role(user) rbac.define_permission(create) rbac.define_permission(read) rbac.define_permission(update) rbac.define_permission(delete) rbac.assign_permission_to_role(admin, create) rbac.assign_permission_to_role(admin, read) rbac.assign_permission_to_role(admin, update) rbac.assign_permission_to_role(admin, delete) rbac.assign_permission_to_role(user, read) rbac.assign_role_to_user(admin1, admin) rbac.assign_role_to_user(user1, user) print(fAdmin can delete: {rbac.check_permission(admin1, delete)}) print(fUser can delete: {rbac.check_permission(user1, delete)})5. 总结身份认证与授权是系统安全的基础身份认证验证用户身份角色授权控制访问权限OAuth开放授权协议MFA多因素认证对比数据如下TOTP安全性最高RBAC最常用OAuth 2.0最灵活推荐使用多因素认证身份认证与授权需要结合使用建立完整的身份管理体系。
相关文章
终极指南:如何快速实现Windows微信QQ消息永久保存的完整教程
终极指南:如何快速实现Windows微信QQ消息永久保存的完整教程 【免费下载链接】RevokeMsgPatcher :trollface: A hex editor for WeChat/QQ/TIM - PC版微信/QQ/TIM防撤回补丁(我已经看到了,撤回也没用了) 项目地址: https://gitc…
Signals Network:算法交易民主化,个人投资者如何构建自动化策略
1. 项目概述:当算法交易不再是机构的专利如果你对金融市场稍有了解,就会知道一个残酷的现实:今天的交易所,尤其是短线交易领域,早已是算法和高频交易的天下。这些由顶尖团队开发的程序,能够以毫秒甚至微秒级…
区块链+AGI:用去中心化治理构建可信的超级智能未来
1. 项目概述:当区块链遇见通用人工智能最近几年,AI和区块链无疑是科技领域最炙手可热的两大话题。一个代表着智能的终极演进方向,另一个则象征着信任与协作的新范式。当我把这两个词放在一起时,很多朋友的第一反应是:这…
vite+vue3 遇到报错 Uncaught SyntaxError: Cannot use import statement outside a module (at main.js:1:1)
在 Vue 3 项目(特别是 Vite 项目)中,index.html 里的 <script> 标签必须加上 type"module"。不加会导致程序无法运行。 核心区别:加与不加<script src"./src/main.ts"> (不加 type"module&q…
暴涨47.3k Stars!字节开源Harness项目DeerFlow 2.0,让智能体几乎能完成任何复杂任务
回顾过去三年,AI 工程的焦点经历了两次剧烈跃迁: 2023-2024年,我们痴迷于提示工程(Prompt Engineering),绞尽脑汁教人类怎么跟AI说话; 2025年,重心转向上下文工程(Cont…
polygon出题教程
Polygon 是一个支持多人协作的出题平台,功能非常完善。官网描述为Polygon 的使命是为创建编程竞赛题目提供平台。 在 Codeforces (CF) 出题必须使用 Polygon。在其它地方出题,尤其是多人合作出题时,使用 Polygon 也是不错的选择。 2.创建题…
【重要置顶】关于博主介绍以及源码获取方式
文章目录关于我们项目技术支持获取博主联系方式关于我们 博主本身从事开发软件开发、有丰富的编程能力和水平、累积给上千名同学进行辅导、有自己的独立工作室,目前只专注做自己专业领域的事。团队人员有多年架构师设计经验、多人有参加校企合作经验,被…
医院查不出毛病却浑身难受?45岁姐姐的真实改变
我差点以为自己得了什么怪病前两年,我总感觉喘不上气,胸口像压了块石头。去中医院,大夫说我气虚;又去综合医院做各种检查,心脏彩超、心电图都做了,西医说心脏有点供血不足,但不算严重。开了中药…
ASP.NET Core 内存缓存实战:一篇搞懂该怎么配、怎么避坑
么是缓存从用户请求到数据库返回数据,这是一个漫长的过程(夸张了点,通常也就是几十毫秒到几百毫秒)。可是又不止一个用户在访问,甚至同一个用户在短时间内发起多个相似请求,这时候每次都走完整个流程就显得…
AI谈判中透明度与人格特质如何影响人机信任与合作
1. 项目概述:当AI成为谈判桌上的“新同事”最近几年,AI从后台的“计算器”逐渐走向前台,开始扮演“协作者”甚至“谈判者”的角色。无论是电商平台的智能议价客服,还是企业内部用于采购、资源分配的自动化谈判代理,人机…
跨平台Java开发:构建无处不在的应用
在当今数字化时代,应用的跨平台能力已成为企业竞争的关键因素。无论是移动设备、桌面系统还是嵌入式设备,用户都期望能够无缝访问他们喜爱的应用。Java,作为一种成熟且强大的编程语言,凭借其“一次编写,到处运行”的核…
解锁学术高效写法!paperxie智能写作,搞定毕业论文全程难题
paperxie-免费查重复率aigc检测/开题报告/毕业论文/智能排版/文献综述/课程论文毕业论文 - PaperXie智能写作PaperXieAi论文智能生成软件,10分钟生成万字毕业论文、期刊论文、文献综述、PPT,Aigc查重、降重报告、文献资料。只需一个标题,从开…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…