python模块itsdangerous简单介绍

安装

你可以从PyPI上直接安装这个库:

pip install itsdangerous

适用案例

在取消订阅某个通讯时，你可以在URL里序列化并且签名一个用户的ID。这种情况下你不需要生成一个一次性的token并把它们存到数据库中。在任何的激活账户的链接或类似的情形下，同样适用。
被签名的对象可以被存入cookie中或其他不可信来源，这意味着你不需要在服务端保存session，这样可以降低数据库读取的次数。
通常签名后的信息可以安全地往返与服务端与客户端之间，这个特性可以用于将服务端的状态传递到客户端再传递回来。

签名接口

最基本的接口是签名接口。 Signer 类可以用来将一个签名附加到指定的字符串上：

>>> from itsdangerous import Signer
>>> s = Signer('secret-key')
>>> s.sign('my string')
'my string.wh6tMHxLgJqB6oY1uT73iMlyrOA'

签名会被加在字符串尾部，中间由句号 (.)分隔。验证字符串，使用 unsign() 方法：

>>> s.unsign('my string.wh6tMHxLgJqB6oY1uT73iMlyrOA')
'my string'

如果被签名的是一个unicode字符串，那么它将隐式地被转换成utf-8。然而，在反签名时，你没法知道它原来是unicode还是字节串。
如果反签名失败了，将得到一个异常：

>>> s.unsign('my string.wh6tMHxLgJqB6oY1uT73iMlyrOX')
Traceback (most recent call last):
 ...
itsdangerous.BadSignature: Signature "wh6tMHxLgJqB6oY1uT73iMlyrOX" does not match

使用时间戳签名

如果你想要可以过期的签名，可以使用 TimestampSigner 类，它会加入时间戳信息并签名。在反签名时，你可以验证时间戳有没有过期：

>>> s = TimestampSigner('secret-key')
>>> string = s.sign('foo')
>>> s.unsign(string, max_age=5)
Traceback (most recent call last):
 ...
itsdangerous.SignatureExpired: Signature age 15 > 5 seconds</pre>

序列化

因为字符串难以处理，本模块也提供了一个与json或pickle类似的序列化接口。（它内部默认使用simplejson，但是可以通过子类进行修改）
:class:Serializer类实现了：

>>> from itsdangerous import Serializer
>>> s = Serializer('secret-key')
>>> s.dumps([1, 2, 3, 4])
'[1, 2, 3, 4].r7R9RhGgDPvvWl3iNzLuIIfELmo'

它当然也可以加载数据：

>>> s.loads('[1, 2, 3, 4].r7R9RhGgDPvvWl3iNzLuIIfELmo')
[1, 2, 3, 4]

如果你想要带一个时间戳，你可以用 TimedSerializer 类。
URL安全序列化
如果能够向只有字符受限的环境中传递可信的字符串的话，将十分有用。因此，itsdangerous也提供了一个URL安全序列化工具：

>>> from itsdangerous import URLSafeSerializer
>>> s = URLSafeSerializer('secret-key')
>>> s.dumps([1, 2, 3, 4])
'WzEsMiwzLDRd.wSPHqC0gR7VUqivlSukJ0IeTDgo'
>>> s.loads('WzEsMiwzLDRd.wSPHqC0gR7VUqivlSukJ0IeTDgo')
[1, 2, 3, 4]

JSON Web 签名

从&ldquo;itsdangerous&rdquo; 0.18版本开始，也支持了JSON Web签名。它们的工作方式与原有的URL安全序列化器差不多，但是会根据当前JSON Web签名

>>> from itsdangerous import JSONWebSignatureSerializer
>>> s = JSONWebSignatureSerializer('secret-key')
>>> s.dumps({'x': 42})
'eyJhbGciOiJIUzI1NiJ9.eyJ4Ijo0Mn0.ZdTn1YyGz9Yx5B5wNpWRL221G1WpVE5f * KNuc6UAo'

在将值加载回来时，默认会像其他序列化器一样，不会返回header。但是你可以通过传入 return_header=True 参数来得到header。

>>> s.dumps(0, header_fields={'v': 1})
'eyJhbGciOiJIUzI1NiIsInYiOjF9.MA.wT-RZI9YU06R919VBdAfTLn82_iIQD70J_j-3F4z_aM'
>>> s.loads('eyJhbGciOiJIUzI1NiIsInYiOjF9.MA.wT-RZI9YU06R919VBdAf'
...         'TLn82_iIQD70J_j-3F4z_aM', return_header=True)
...
(0, {u'alg': u'HS256', u'v': 1})

例：

from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
from django.conf import settings

serializer = Serializer(秘钥, 有效期秒)

serializer = Serializer(settings.SECRET_KEY, 300)

serializer.dumps(数据), 返回bytes类型

token = serializer.dumps({'mobile': '18512345678'})
token = token.decode()

检验token 验证失败，会抛出itsdangerous.BadData异常

serializer = Serializer(settings.SECRET_KEY, 300)
try:
   data = serializer.loads(token)
except BadData:
   return None

来源：https://blog.csdn.net/qq_42799459/article/details/89630855