Django 令牌：使用令牌身份验证下载服务器文件

Question

我正在寻找设置token authentification，以便以安全的方式下载服务器文件并在过期时间后添加。

要求：

• Django 1.11
• Ubuntu 18.04
• 数据库 PostgreSQL

流程：

用户填写了一些信息CustomerForm(email, firstname, lastname and country) 的表格，他必须选择一个或多个带有复选框的文档。

提交表单时，我创建了一个对象，其中 user informations + document 选择 + token 从 email + document_id + datetime in sha1 生成格式。

用户根据之前的文档收到一封带有下载链接的电子邮件（每个文档 1 封电子邮件）。

预期：

在这部分中，我将解释我想做的事情，但我不知道这怎么可能，这部分在我的脑海中仍然很模糊。这是我第一次尝试这样做。

用户收到一封电子邮件，其中包含基于先前生成的令牌的 url 链接。当他点击链接时，有一个验证过程，可以确认用户并打开一个窗口以下载文档文件。

但是，过了一段时间（可能是 10 分钟），令牌就会过期，用户必须重新提交表单才能获得文档文件链接。

正如我所说，它有点模糊。我必须实现类似的东西，但我不知道该怎么做。

我的文件：

我认为有一个类可以填写表格、生成令牌并发送电子邮件。

然后，我有了这个新类，它可以将token 与数据库进行比较，并将expiration_time 与now() 进行比较。

问题是：如果我多次打开链接，now() 不会实现，我的令牌始终有效且不会过期。

class TokenDownloadView(TemplateView):
    template_name = 'app/token.html'

    def get_context_data(self, **kwargs):
        context = super().get_context_data(**kwargs)
        context['token'] = self.kwargs['token']
        token = context['token']
        print(token)
        download = Download.objects.get(token__iexact=token)

        if download and download.expiration_date > now:
            print("token valide jusqu'à : " + str(download.expiration_date))
            print("il est actuellement : " + str(now))
            print(' ==> Token existe et valide <==')

        if download and download.expiration_date < now:
            print("token valide jusqu'à : " + str(download.expiration_date))
            print("il est actuellement : " + str(now))
            print('==> Token existe mais a expiré <==')

        return context

这是我在终端中获得的，以便显示我所说的内容：

d0ce9328a53032d4484cccff4c0bdd92ad701567
token valide jusqu'à : 2018-09-12 07:46:30.082915+00:00
il est actuellement : 2018-09-12 07:45:30.082915+00:00
 ==> Token existe et valide <==
[12/Sep/2018 09:45:42] "GET /crud/download/token/d0ce9328a53032d4484cccff4c0bdd92ad701567/ HTTP/1.1" 200 7447
[12/Sep/2018 09:45:42] "GET /static/css/common-8073709e.css HTTP/1.1" 404 1682
d0ce9328a53032d4484cccff4c0bdd92ad701567
token valide jusqu'à : 2018-09-12 07:46:30.082915+00:00
il est actuellement : 2018-09-12 07:45:30.082915+00:00
 ==> Token existe et valide <==
[12/Sep/2018 09:46:10] "GET /crud/download/token/d0ce9328a53032d4484cccff4c0bdd92ad701567/ HTTP/1.1" 200 7447
[12/Sep/2018 09:46:10] "GET /static/css/common-8073709e.css HTTP/1.1" 404 1682
d0ce9328a53032d4484cccff4c0bdd92ad701567
token valide jusqu'à : 2018-09-12 07:46:30.082915+00:00
il est actuellement : 2018-09-12 07:45:30.082915+00:00
 ==> Token existe et valide <==
[12/Sep/2018 09:46:30] "GET /crud/download/token/d0ce9328a53032d4484cccff4c0bdd92ad701567/ HTTP/1.1" 200 7447
[12/Sep/2018 09:46:30] "GET /static/css/common-8073709e.css HTTP/1.1" 404 1682
d0ce9328a53032d4484cccff4c0bdd92ad701567
token valide jusqu'à : 2018-09-12 07:46:30.082915+00:00
il est actuellement : 2018-09-12 07:45:30.082915+00:00
 ==> Token existe et valide <==
[12/Sep/2018 09:46:41] "GET /crud/download/token/d0ce9328a53032d4484cccff4c0bdd92ad701567/ HTTP/1.1" 200 7447
[12/Sep/2018 09:46:41] "GET /static/css/common-8073709e.css HTTP/1.1" 404 1682

你有什么想法吗？

我怀疑cookies应该是这样，但我不知道如何根据令牌删除cookie？

Answer 1

如果您创建如下所示的 url，您在 AppHomeView 上的 def get(...) 中的逻辑可以在允许下载之前解析令牌并检查超时。此外，您可能希望在AppHomeView 上使用LoginRequiredMixin。

Django 2.0

path('download/<slug:token>/', views.AppHomeView.as_view(), name="download_document")

Django 1.11

url(r'^download/(?P<slug>[\w-]+)/$', views.AppHomeView.as_view(), name='download_document')

如果您不想将 def get(...) 放在 AppHomeView 上，那么您可以只拥有两个单独的视图，并按照 Django 标准命名，将它们命名为 AppCreateView(CreateView) 和 AppDownloadView(View) 并实现 @987654331 @ 解析AppDownloadView(View) 上的令牌。对应的网址是：

Django 2.0

path('download/<slug:token>/', views.AppDownloadView.as_view(), name="download_document")

Django 1.11

url(r'^download/(?P<slug>[\w-]+)/$', views.AppDownloadView.as_view(), name='download_document')