[itsdangerous](http://itsdangerous.readthedocs.org/en/latest/)是一个序列化数据生成签名的工具,它内部使用hmac和sha1来签名,支持jsonweb签名

# 一个基本的签名

In [2]:
from itsdangerous import Signer
s = Signer('secret-key')
l=s.sign('my string')
l

'my string.wh6tMHxLgJqB6oY1uT73iMlyrOA'

签名会被加在字符串尾部，中间由句号 (.)分隔。验证字符串，使用 unsign() 方法：

In [3]:
s.unsign(l)

'my string'

如果被签名的是一个unicode字符串，那么它将隐式地被转换成utf-8。然而，在反签名时，你没法知道它原来是unicode还是字节串。因此一个好习惯是用统一的字符串形式

# 使用时间戳

如果你想要可以过期的签名，可以使用 TimestampSigner 类，它会加入时间戳信息并签名。在反签名时，你可以验证时间戳有没有过期：

In [4]:
from itsdangerous import TimestampSigner

In [5]:
s = TimestampSigner('secret-key')
string = s.sign('foo')

In [6]:
s.unsign(string, max_age=5)

'foo'

In [7]:
s.unsign(string, max_age=5)

SignatureExpired: Signature age 12 > 5 seconds

# 盐

所有的类都接受一个盐的参数。这名字可能会误导你，因为通常你会认为，密码学中的盐会是一个和被签名的字符串储存在一起的东西，用来防止彩虹表查找。这种盐是公开的。

与Django中的原始实现类似，itsdangerous中的盐，是为了一个截然不同的目的而产生的。你可以将它视为成命名空间。就算你泄露了它，也不是很严重的问题，因为没有密钥的话，它对攻击者没什么帮助。

假设你想签名两个链接。你的系统有个激活链接，用来激活一个用户账户，并且你有一个升级链接，可以让一个用户账户升级为付费用户，这两个链接使用email发送。在这两种情况下，如果你签名的都是用户ID，那么该用户可以在激活账户和升级账户时，复用URL的可变部分。现在你可以在你签名的地方加上更多信息（如升级或激活的意图），但是你也可以用不同的盐：



In [9]:
from itsdangerous import URLSafeSerializer

In [10]:
s1 = URLSafeSerializer('secret-key', salt='activate-salt')

In [11]:
s1.dumps(42)

'NDI.kubVFOOugP5PAIfEqLJbXQbfTxs'

In [12]:
s2 = URLSafeSerializer('secret-key', salt='upgrade-salt')

In [13]:
s2.dumps(42)

'NDI.7lx-N1P-z2veJ7nT1_2bnTkjGTE'

In [14]:
s2.loads(s1.dumps(42))

BadSignature: Signature 'kubVFOOugP5PAIfEqLJbXQbfTxs' does not match

# 最常用的生成会过期的用户信息token

In [16]:
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer

In [18]:
s = Serializer('SECRET_KEY', 30)

In [21]:
token = s.dumps({'confirm': "hsz"})
token

'eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ1ODE5ODc1NSwiaWF0IjoxNDU4MTk4NzI1fQ.eyJjb25maXJtIjoiaHN6In0.hfXXUrFdJxWuzCGmhqVNNmYTuvZonzzTCdKrx-kl8Ic'

In [22]:
data = s.loads(token)

In [23]:
data

{u'confirm': u'hsz'}

In [27]:
data = s.loads(token)

SignatureExpired: Signature expired