問題

你想在分布式系統(tǒng)中實(shí)現(xiàn)一個(gè)簡(jiǎn)單的客戶端連接認(rèn)證功能，又不想像SSL那樣的復(fù)雜。

解決方案

可以利用 hmac 模塊實(shí)現(xiàn)一個(gè)連接握手，從而實(shí)現(xiàn)一個(gè)簡(jiǎn)單而高效的認(rèn)證過(guò)程。下面是代碼示例：

import hmacimport osdef client_authenticate(connection, secret_key): ’’’ Authenticate client to a remote service. connection represents a network connection. secret_key is a key known only to both client/server. ’’’ message = connection.recv(32) hash = hmac.new(secret_key, message) digest = hash.digest() connection.send(digest)def server_authenticate(connection, secret_key): ’’’ Request client authentication. ’’’ message = os.urandom(32) connection.send(message) hash = hmac.new(secret_key, message) digest = hash.digest() response = connection.recv(len(digest)) return hmac.compare_digest(digest,response)

基本原理是當(dāng)連接建立后，服務(wù)器給客戶端發(fā)送一個(gè)隨機(jī)的字節(jié)消息（這里例子中使用了 os.urandom() 返回值）。 客戶端和服務(wù)器同時(shí)利用hmac和一個(gè)只有雙方知道的密鑰來(lái)計(jì)算出一個(gè)加密哈希值。然后客戶端將它計(jì)算出的摘要發(fā)送給服務(wù)器， 服務(wù)器通過(guò)比較這個(gè)值和自己計(jì)算的是否一致來(lái)決定接受或拒絕連接。摘要的比較需要使用 hmac.compare_digest() 函數(shù)。 使用這個(gè)函數(shù)可以避免遭到時(shí)間分析攻擊，不要用簡(jiǎn)單的比較操作符（==）。 為了使用這些函數(shù)，你需要將它集成到已有的網(wǎng)絡(luò)或消息代碼中。例如，對(duì)于sockets，服務(wù)器代碼應(yīng)該類似下面：

from socket import socket, AF_INET, SOCK_STREAMsecret_key = b’peekaboo’def echo_handler(client_sock): if not server_authenticate(client_sock, secret_key): client_sock.close() return while True: msg = client_sock.recv(8192) if not msg: break client_sock.sendall(msg)def echo_server(address): s = socket(AF_INET, SOCK_STREAM) s.bind(address) s.listen(5) while True: c,a = s.accept() echo_handler(c)echo_server((’’, 18000))Within a client, you would do this:from socket import socket, AF_INET, SOCK_STREAMsecret_key = b’peekaboo’s = socket(AF_INET, SOCK_STREAM)s.connect((’localhost’, 18000))client_authenticate(s, secret_key)s.send(b’Hello World’)resp = s.recv(1024)

討論

hmac 認(rèn)證的一個(gè)常見使用場(chǎng)景是內(nèi)部消息通信系統(tǒng)和進(jìn)程間通信。 例如，如果你編寫的系統(tǒng)涉及到一個(gè)集群中多個(gè)處理器之間的通信， 你可以使用本節(jié)方案來(lái)確保只有被允許的進(jìn)程之間才能彼此通信。 事實(shí)上，基于 hmac 的認(rèn)證被 multiprocessing 模塊使用來(lái)實(shí)現(xiàn)子進(jìn)程直接的通信。

還有一點(diǎn)需要強(qiáng)調(diào)的是連接認(rèn)證和加密是兩碼事。 認(rèn)證成功之后的通信消息是以明文形式發(fā)送的，任何人只要想監(jiān)聽這個(gè)連接線路都能看到消息（盡管雙方的密鑰不會(huì)被傳輸）。

hmac認(rèn)證算法基于哈希函數(shù)如MD5和SHA-1，關(guān)于這個(gè)在IETF RFC 2104中有詳細(xì)介紹。

以上就是Python 實(shí)現(xiàn)簡(jiǎn)單的客戶端認(rèn)證的詳細(xì)內(nèi)容，更多關(guān)于Python 客戶端認(rèn)證的資料請(qǐng)關(guān)注好吧啦網(wǎng)其它相關(guān)文章！