1、接口的安全机制

一般在实际项目的接口开发中，接口的安全机制是绕不开的一个话题。不管是自己内部使用的接口也好，还是给第三方使用的接口也好。如果毫无限制的给任何人调用，那么必然会带来诸多安全问题。

例如：重要数据泄密，系统瘫痪等。

2、用户认证

（1）用户认证说明：

HTTP的请求中，有一些请求是需要通过授权认证之后才会响应，授权认证就是检查用户名和密码的过程（鉴权）。

HTTP有一个基本认证方式：在认证的过程中，客户端需要把用户名和密码发给服务器，服务器收到并检查通过后才会响应请求，不通过返回401状态码，提示未授权或者授权失败。

（2）用户认证接口处理：

在测试Web 接口时，不管所用的接口工具（Postman）还是Requests 库，都提供的Auth选项/参数。

这个选项提供了username 和password 的选项，但这里的Auth用户名和密码，与系统登录的用户名密码有所区别，登录的用户名密码是作为接口的参数来传输，而Auth不是，但它仍然包含在request请求中。

Requests 允许你使用自己指定的身份验证机制。

自定义的身份验证机制是作为 requests.auth.AuthBase 的子类来实现的，也非常容易定义。Requests 在 requests.auth 中提供了两种常见的的身份验证方案： HTTPBasicAuth 和 HTTPDigestAuth 。

3、示例说明

示例1：使用明文提交用户名密码。

import requests

# 定义请求url
base_url = "http://httpbin.org/get?username=xiaoming&password=123456"

# 发送请求
response = requests.get(base_url)

# 输出请求结果
if response.status_code == 200:
    print(response.text)
    

"""
# 返回结果：（即请求发出的参数的返回）
{
  "args": {
    "password": "123456", 
    "username": "xiaoming"
  }, 
  "headers": {
    "Accept": "*/*", 
    "Accept-Encoding": "gzip, deflate", 
    "Connection": "keep-alive", 
    "Host": "127.0.0.1:9999", 
    "User-Agent": "python-requests/2.18.4"
  }, 
  "origin": "106.35.11.30", 
  "url": "http://httpbin.org/get?username=xiaoming&password=123456"
}
"""

我们可以看到提交与用户名密码相关的数据是明文显示。

示例2：使用requests库的Auth选项提交请求。

import requests
from requests.auth import HTTPBasicAuth

base_url = "http://httpbin.org"

# 身份验证-BasicAuth
response = requests.get(base_url + "/basic-auth/xiaoming/123456", auth=HTTPBasicAuth('xiaoming', '123456'))
if response.status_code == 200:
    print(response.text)


"""
返回结果：
{
  "authenticated": true, 
  "user": "xiaoming"
}

翻译：
{ “已认证” ：true ，“用户” ：“ xiaoming” }
"""

我们可以看到发送出的数据被隐藏了，没有任何显示。

示例3：我们请求一个实际的登陆界面：

import requests
from requests.auth import HTTPBasicAuth

# 定义请求URL
url = 'http://sck.rjkflm.com:666/spider/auth/'

# HTTPBasicAuth 认证
ah = HTTPBasicAuth('admin', 'admin')

# 发送请求
response = requests.get(url=url, auth=ah)

# 显示结果
if response.status_code == 200:
    print(response.text)

我们使用Fiddler抓取请求，查看请求体。

可以看出Authorization（授权）属性的内容，也就是我们的用户名密码，被进行了加密。

总结：

这是一种简单的身份认证，当一个客户端向一个需要认证的HTTP服务器进行数据请求时，如果之前没有认证过，HTTP服务器会返回401状态码，要求客户端输入用户名和密码。

用户输入用户名和密码后，HTTPBasicAuth是通过HTTP的Authorization请求头中，携带经过base64加密的用户名和密码而实现的一种认证。

服务端接收用户名和密码之后会解密其内容，从而获取真正传递过来的用户名和密码，之后再去同步数据库中的用户名和密码，进行比对。