問題

你想在分布式系統中實現一個簡單的客戶端連接認證功能，又不想像SSL那樣的復雜。

解決方案

可以利用 hmac 模塊實現一個連接握手，從而實現一個簡單而高效的認證過程。下面是代碼示例：

import hmacimport osdef client_authenticate(connection, secret_key): ’’’ Authenticate client to a remote service. connection represents a network connection. secret_key is a key known only to both client/server. ’’’ message = connection.recv(32) hash = hmac.new(secret_key, message) digest = hash.digest() connection.send(digest)def server_authenticate(connection, secret_key): ’’’ Request client authentication. ’’’ message = os.urandom(32) connection.send(message) hash = hmac.new(secret_key, message) digest = hash.digest() response = connection.recv(len(digest)) return hmac.compare_digest(digest,response)

基本原理是當連接建立后，服務器給客戶端發送一個隨機的字節消息（這里例子中使用了 os.urandom() 返回值）。 客戶端和服務器同時利用hmac和一個只有雙方知道的密鑰來計算出一個加密哈希值。然后客戶端將它計算出的摘要發送給服務器， 服務器通過比較這個值和自己計算的是否一致來決定接受或拒絕連接。摘要的比較需要使用 hmac.compare_digest() 函數。 使用這個函數可以避免遭到時間分析攻擊，不要用簡單的比較操作符（==）。 為了使用這些函數，你需要將它集成到已有的網絡或消息代碼中。例如，對于sockets，服務器代碼應該類似下面：

from socket import socket, AF_INET, SOCK_STREAMsecret_key = b’peekaboo’def echo_handler(client_sock): if not server_authenticate(client_sock, secret_key): client_sock.close() return while True: msg = client_sock.recv(8192) if not msg: break client_sock.sendall(msg)def echo_server(address): s = socket(AF_INET, SOCK_STREAM) s.bind(address) s.listen(5) while True: c,a = s.accept() echo_handler(c)echo_server((’’, 18000))Within a client, you would do this:from socket import socket, AF_INET, SOCK_STREAMsecret_key = b’peekaboo’s = socket(AF_INET, SOCK_STREAM)s.connect((’localhost’, 18000))client_authenticate(s, secret_key)s.send(b’Hello World’)resp = s.recv(1024)

討論

hmac 認證的一個常見使用場景是內部消息通信系統和進程間通信。 例如，如果你編寫的系統涉及到一個集群中多個處理器之間的通信， 你可以使用本節方案來確保只有被允許的進程之間才能彼此通信。 事實上，基于 hmac 的認證被 multiprocessing 模塊使用來實現子進程直接的通信。

還有一點需要強調的是連接認證和加密是兩碼事。 認證成功之后的通信消息是以明文形式發送的，任何人只要想監聽這個連接線路都能看到消息（盡管雙方的密鑰不會被傳輸）。

hmac認證算法基于哈希函數如MD5和SHA-1，關于這個在IETF RFC 2104中有詳細介紹。

以上就是Python 實現簡單的客戶端認證的詳細內容，更多關于Python 客戶端認證的資料請關注好吧啦網其它相關文章！