网站建设销售好wordpress所有外链本地化

在电商 API 的安全防护中，JWT（JSON Web Token）令牌用于身份验证和授权，而 XSS（跨站脚本攻击）防御则是防止恶意脚本注入，保护用户数据和系统安全。以下是这两方面的实战介绍。

JWT 令牌实战

1. 生成 JWT 令牌

首先，你需要安装 PyJWT 库（假设使用 Python）：

pip install PyJWT

以下是生成 JWT 令牌的示例代码：

import jwt
import datetime# 密钥，用于签名 JWT
SECRET_KEY = "your_secret_key"def generate_token(user_id):# 设置令牌的过期时间expiration = datetime.datetime.utcnow() + datetime.timedelta(hours=1)# 构建负载信息payload = {"user_id": user_id,"exp": expiration}# 生成 JWT 令牌token = jwt.encode(payload, SECRET_KEY, algorithm="HS256")return token# 示例使用
user_id = 123
token = generate_token(user_id)
print(token)

2. 验证 JWT 令牌

在 API 端，需要对传入的 JWT 令牌进行验证：

def verify_token(token):try:# 验证并解码 JWT 令牌decoded = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])return decodedexcept jwt.ExpiredSignatureError:print("Token has expired")return Noneexcept jwt.InvalidTokenError:print("Invalid token")return None# 示例使用
decoded = verify_token(token)
if decoded:print("Token is valid. User ID:", decoded["user_id"])

3. 在 API 中集成 JWT 验证

在 Flask 框架中集成 JWT 验证的示例：

from flask import Flask, request, jsonify
import jwtapp = Flask(__name__)
SECRET_KEY = "your_secret_key"def verify_token(token):try:decoded = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])return decodedexcept jwt.ExpiredSignatureError:return Noneexcept jwt.InvalidTokenError:return None@app.route('/protected', methods=['GET'])
def protected_route():token = request.headers.get('Authorization')if not token:return jsonify({"message": "Token is missing"}), 401token = token.replace('Bearer ', '')decoded = verify_token(token)if not decoded:return jsonify({"message": "Invalid token"}), 401return jsonify({"message": "This is a protected route", "user_id": decoded["user_id"]})if __name__ == '__main__':app.run(debug=True)

XSS 防御实战

1. 输入验证和过滤

在接收用户输入时，对输入进行验证和过滤，只允许合法的字符和格式。例如，在 Python 的 Flask 框架中：

from flask import Flask, request, jsonify
import reapp = Flask(__name__)def validate_input(input_str):# 只允许字母、数字和常见标点符号pattern = re.compile(r'^[a-zA-Z0-9.,!?\s]+$')return bool(pattern.match(input_str))@app.route('/search', methods=['GET'])
def search():query = request.args.get('query')if not validate_input(query):return jsonify({"message": "Invalid input"}), 400# 处理搜索逻辑return jsonify({"message": "Search results", "query": query})if __name__ == '__main__':app.run(debug=True)

2. 输出编码

在将用户输入的数据返回给前端时，对数据进行编码，将特殊字符转换为 HTML 实体。在 Python 中，可以使用 html.escape 函数：

import htmluser_input = '<script>alert("XSS")</script>'
encoded_input = html.escape(user_input)
print(encoded_input)  # 输出: &lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;

3. 设置 CSP（内容安全策略）

CSP 可以限制页面可以加载的资源来源，防止恶意脚本的注入。在 Flask 中，可以通过设置响应头来实现：

from flask import Flaskapp = Flask(__name__)@app.after_request
def add_csp_header(response):response.headers['Content-Security-Policy'] = "default-src'self'"return response@app.route('/')
def index():return "This is the home page"if __name__ == '__main__':app.run(debug=True)

通过以上 JWT 令牌和 XSS 防御的实战措施，可以有效提高电商 API 的安全性，保护用户数据和系统免受攻击。