Задача «Код авторизации» может иметь несколько трактовок. Ниже даю подробное решение в двух наиболее распространённых вариантах и пошаговые объяснения. Если твой вариант другой, скажи — адаптирую под него. Вариант 1. Простой одноразовый код авторизации (6 цифр, срок действия) Цель: сгенерировать код, передать пользователю, затем проверить его при входе. Как работает идея - При любом запросе генерируем уникальный 6-значный код. - Сохраняем код вместе с идентификатором пользователя и временем истечения. - Отправляем код пользователю (по SMS/почте и т. д.). - При вводе пользователем кода проверяем: код существует, соответствует этому пользователю, не истёк, и код ещё не использован. После проверки помечаем код как использованный. Пошагово 1) Сгенерировать код (6 цифр). 2) Сохранить запись: код -> (пользователь, время истечения). 3) Проверить код: совпадает пользователь, не просрочен, не использован. 4) При успешной проверке пометить код как использованный и удалить/очистить запись. Пример реализации на Python (упрощённый, без внешних зависимостей) - Мы сохраняем данные в памяти во время работы программы (для учебной задачи; в реальном проекте хранить в базе данных). Код: - Импортируем нужные модули: random, time. - Создаём класс AuthCodeManager с методами generate_code и verify_code. Схематично код: - import random - import time - class AuthCodeManager: - def __init__(self, expiry_seconds=300): - self.expiry = expiry_seconds - self.codes = {} # код -> (user_id, expiry_ts) - self.used = set() # использованные коды - def _generate_code(self): - return f"{random.randint(0, 999999):06d}" - def generate_code(self, user_id): - code = self._generate_code() - while code in self.codes: - code = self._generate_code() - expiry_ts = time.time() + self.expiry - self.codes[code] = (user_id, expiry_ts) - return code - def verify_code(self, user_id, code): - if code in self.used: - return False - entry = self.codes.get(code) - if not entry: - return False - suid, expiry = entry - if suid != user_id: - return False - if time.time() > expiry: - self.codes.pop(code, None) - return False - # валидно - self.used.add(code) - self.codes.pop(code, None) - return True Как использовать - mgr = AuthCodeManager(expiry_seconds=300) - user_id = "user123" - code = mgr.generate_code(user_id) - print("Код отправлен пользователю:", code) - # позже пользователь вводит код - ok = mgr.verify_code(user_id, code) - print("Авторизация успешна" if ok else "Неверный код") Плюсы и минусы - Плюсы: просто, прозрачно, быстро для учебной задачи. - Минусы: хранение в памяти – не устойчиво; не масштабируется; не использует безопасные токены; не журналируемо; код можно перезагружать, если сервер перезапущен. Рекомендации по улучшению - Перенести хранение кодов в базу данных с индексами. - Добавить ограничение на использование: код можно использовать только один раз. - Сделать expiry более гибким и добавить повторную отправку кода. - Обеспечить передачу кода через TLS (HTTPS) и логирование попыток. Вариант 2. У.lesson: Код авторизации в рамках OAuth 2.0 Authorization Code Grant (обзор) Цель: понимание общего процесса выдачи и использования авторизационного кода для получения access_token. Ключевые участники - Клиент (Client) — приложение, которое хочет получить доступ к ресурсам. - Авторизационный сервер (Authorization Server) — выдает авторизационный код и позже access_token. - В ресурсный сервер (Resource Server) доступ даёт токен. Базовый поток (без PKCE, упрощённо) 1) Клиент направляет пользователя на страницу авторизации: GET /authorize?response_type=code&client_id=CLIENT&redirect_uri=REDIR&scope=... 2) Пользователь входит в систему и предоставляет согласие. 3) Авторизационный сервер генерирует код (authorization code) и перенаправляет браузер на REDIR?code=CODE. 4) Клиент получает код и делает запрос к токенному эндпойнту: POST /token с кодом, client_id, client_secret и redirect_uri. 5) Авторизационный сервер проверяет код и параметры, возвращает access_token (и, иногда, refresh_token) клиенту. 6) Клиент использует access_token для доступа к защищённым ресурсам. Безопасные детали, которые обычно реализуют - Код должен быть одноразовым и иметь ограниченный срок годности. - PKCE (Proof Key for Code Exchange) для публичных клиентов (например, мобильных приложений) — повышает безопасность. - Передача кодов и токенов осуществляется только по HTTPS. - Проверка redirect_uri на соответствие зарегистрированному адресу. - Хранение client_secret только на стороне сервера. Пример упрощённой реализации на Python (псевдокод, учебная версия) - Мы не разворачиваем реальный веб-сервер, а показываем логику функций и словаре. 1) Хранение данных (упрощённо) - clients = { "CLIENT_ID": {"redirect_uri": "https://app.example/callback", "secret": "CLIENT_SECRET"} } - auth_codes = {} # код -> (client_id, redirect_uri, user_id, expiry) - access_tokens = {} # token -> (client_id, user_id, expiry) 2) Получение авторизационного кода - def authorize_request(client_id, redirect_uri, user_id): - if client_id not in clients: return "invalid_client" - if redirect_uri != clients[client_id]["redirect_uri"]: return "invalid_redirect" - code = generate_code() - expiry = time.time() + 300 - auth_codes[code] = (client_id, redirect_uri, user_id, expiry) - return f"redirect:{redirect_uri}?code={code}" 3) Обмен кода на токен - def token_request(code, client_id, client_secret, redirect_uri): - if client_id not in clients: return {"error":"invalid_client"} - if redirect_uri != clients[client_id]["redirect_uri"]: return {"error":"invalid_grant"} - rec = auth_codes.get(code) - if not rec: return {"error":"invalid_grant"} - ac_id, ar_uri, user_id, expiry = rec - if ac_id != client_id: return {"error":"invalid_grant"} - if time.time() > expiry: return {"error":"invalid_grant"} - if clients[client_id]["secret"] != client_secret: return {"error":"invalid_client"} - # выдать токены - access_token = generate_token() - refresh_token = generate_token() - access_tokens[access_token] = (client_id, user_id, time.time() + 3600) - # удалить использованный код - del auth_codes[code] - return {"access_token": access_token, "token_type": "Bearer", "expires_in": 3600, "refresh_token": refresh_token} 4) Использование токена - def access_resource(token): - t = access_tokens.get(token) - if not t: return "invalid_token" - client_id, user_id, expiry = t - if time.time() > expiry: return "expired_token" - return f"защищённые данные для {user_id}" Дополнительные замечания - В реальности помимо примитивной реализации используются библиотеки и фреймворки (OAuth2 серверы, PKCE, JWT, базы данных, очереди), чтобы обеспечить масштабируемость и безопасность. - Для учебной задачи можно реализовать упрощённую версию в Flask/Dast (примеры в интернете), но важно понять логику потоков и роли участников. Как выбрать подход - Если задача в учебнике про простую авторизацию: используем Вариант 1 (одноразовый код). - Если задача про архитектуру веб-аутентификации и взаимодействие сервисов: используем Вариант 2 (OAuth2-подход) и разбираем поток, даже если в учебной форме достаточно псевдокода. Что от тебя нужно для точной адаптации - На каком языке хочешь видеть решение (Python, JavaScript и т. д.)? - Какой конкретно формат задачи: чистый алгоритм, веб-реализация, или учебная теория (OAuth)? - Нужна ли реализация с PKCE и/или с хранением данных в БД? Готов адаптировать решение под твой уровень и язык программирования. Напиши, какой вариант и язык тебе удобнее, и какой уровень класса/курса (для уровня сложности адаптирую стиль объяснений).