锦中融合门户系统

小明：最近我在开发一个融合服务门户，需要支持用户登录后查看和提交投标书，你有什么建议吗？

小李：可以考虑使用基于Token的身份验证方式，比如JWT。这样用户登录后，服务器生成一个Token返回给客户端，后续请求带上这个Token即可。

小明：听起来不错，那你能给我写个简单的登录接口代码吗？

小李：当然可以，下面是一个用Python Flask实现的简单登录示例：

from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)

SECRET_KEY = 'your-secret-key'

@app.route('/login', methods=['POST'])
def login():
    data = request.json
    username = data.get('username')
    password = data.get('password')

    # 简单模拟用户验证
    if username == 'admin' and password == '123456':
        payload = {
            'user': username,
            'exp': datetime.datetime.utcnow() + datetime.timedelta(hours=1)
        }
        token = jwt.encode(payload, SECRET_KEY, algorithm='HS256')
        return jsonify({'token': token})
    else:
        return jsonify({'error': 'Invalid credentials'}), 401

if __name__ == '__main__':
    app.run(debug=True)
    

小明：明白了，那用户登录后如何访问投标书呢？

小李：可以在每个需要权限的接口中检查Token的有效性，例如：

@app.route('/submit_bid', methods=['POST'])
def submit_bid():
    token = request.headers.get('Authorization')
    if not token:
        return jsonify({'error': 'Missing token'}), 401

    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=['HS256'])
        user = payload['user']
        # 这里处理投标书提交逻辑
        return jsonify({'message': f'Bid submitted by {user}'})
    except jwt.ExpiredSignatureError:
        return jsonify({'error': 'Token expired'}), 401
    except jwt.InvalidTokenError:
        return jsonify({'error': 'Invalid token'}), 401
    

小明：太好了，这对我帮助很大！

小李：没问题，记得在生产环境中使用更安全的密码存储方式，比如哈希加密。