ai_v/venv/Lib/site-packages/cryptography/fernet.py

# This file is dual licensed under the terms of the Apache License, Version
# 2.0, and the BSD License. See the LICENSE file in the root of this repository
# for complete details.

from __future__ import annotations

import base64
import binascii
import os
import time
import typing
from collections.abc import Iterable

from cryptography import utils
from cryptography.exceptions import InvalidSignature
from cryptography.hazmat.primitives import hashes, padding
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives.hmac import HMAC


class InvalidToken(Exception):
    pass


_MAX_CLOCK_SKEW = 60


class Fernet:
    def __init__(
        self,
        key: bytes | str,
        backend: typing.Any = None,
    ) -> None:
        try:
            key = base64.urlsafe_b64decode(key)
        except binascii.Error as exc:
            raise ValueError(
                "Fernet key must be 32 url-safe base64-encoded bytes."
            ) from exc
        if len(key) != 32:
            raise ValueError(
                "Fernet key must be 32 url-safe base64-encoded bytes."
            )

        self._signing_key = key[:16]
        self._encryption_key = key[16:]

    @classmethod
    def generate_key(cls) -> bytes:
        return base64.urlsafe_b64encode(os.urandom(32))

    def encrypt(self, data: bytes) -> bytes:
        return self.encrypt_at_time(data, int(time.time()))

    def encrypt_at_time(self, data: bytes, current_time: int) -> bytes:
        iv = os.urandom(16)
        return self._encrypt_from_parts(data, current_time, iv)

    def _encrypt_from_parts(
        self, data: bytes, current_time: int, iv: bytes
    ) -> bytes:
        utils._check_bytes("data", data)

        padder = padding.PKCS7(algorithms.AES.block_size).padder()
        padded_data = padder.update(data) + padder.finalize()
        encryptor = Cipher(
            algorithms.AES(self._encryption_key),
            modes.CBC(iv),
        ).encryptor()
        ciphertext = encryptor.update(padded_data) + encryptor.finalize()

        basic_parts = (
            b"\x80"
            + current_time.to_bytes(length=8, byteorder="big")
            + iv
            + ciphertext
        )

        h = HMAC(self._signing_key, hashes.SHA256())
        h.update(basic_parts)
        hmac = h.finalize()
        return base64.urlsafe_b64encode(basic_parts + hmac)

    def decrypt(self, token: bytes | str, ttl: int | None = None) -> bytes:
        timestamp, data = Fernet._get_unverified_token_data(token)
        if ttl is None:
            time_info = None
        else:
            time_info = (ttl, int(time.time()))
        return self._decrypt_data(data, timestamp, time_info)

    def decrypt_at_time(
        self, token: bytes | str, ttl: int, current_time: int
    ) -> bytes:
        if ttl is None:
            raise ValueError(
                "decrypt_at_time() can only be used with a non-None ttl"
            )
        timestamp, data = Fernet._get_unverified_token_data(token)
        return self._decrypt_data(data, timestamp, (ttl, current_time))

    def extract_timestamp(self, token: bytes | str) -> int:
        timestamp, data = Fernet._get_unverified_token_data(token)
        # Verify the token was not tampered with.
        self._verify_signature(data)
        return timestamp

    @staticmethod
    def _get_unverified_token_data(token: bytes | str) -> tuple[int, bytes]:
        if not isinstance(token, (str, bytes)):
            raise TypeError("token must be bytes or str")

        try:
            data = base64.urlsafe_b64decode(token)
        except (TypeError, binascii.Error):
            raise InvalidToken

        if not data or data[0] != 0x80:
            raise InvalidToken

        if len(data) < 9:
            raise InvalidToken

        timestamp = int.from_bytes(data[1:9], byteorder="big")
        return timestamp, data

    def _verify_signature(self, data: bytes) -> None:
        h = HMAC(self._signing_key, hashes.SHA256())
        h.update(data[:-32])
        try:
            h.verify(data[-32:])
        except InvalidSignature:
            raise InvalidToken

    def _decrypt_data(
        self,
        data: bytes,
        timestamp: int,
        time_info: tuple[int, int] | None,
    ) -> bytes:
        if time_info is not None:
            ttl, current_time = time_info
            if timestamp + ttl < current_time:
                raise InvalidToken

            if current_time + _MAX_CLOCK_SKEW < timestamp:
                raise InvalidToken

        self._verify_signature(data)

        iv = data[9:25]
        ciphertext = data[25:-32]
        decryptor = Cipher(
            algorithms.AES(self._encryption_key), modes.CBC(iv)
        ).decryptor()
        plaintext_padded = decryptor.update(ciphertext)
        try:
            plaintext_padded += decryptor.finalize()
        except ValueError:
            raise InvalidToken
        unpadder = padding.PKCS7(algorithms.AES.block_size).unpadder()

        unpadded = unpadder.update(plaintext_padded)
        try:
            unpadded += unpadder.finalize()
        except ValueError:
            raise InvalidToken
        return unpadded


class MultiFernet:
    def __init__(self, fernets: Iterable[Fernet]):
        fernets = list(fernets)
        if not fernets:
            raise ValueError(
                "MultiFernet requires at least one Fernet instance"
            )
        self._fernets = fernets

    def encrypt(self, msg: bytes) -> bytes:
        return self.encrypt_at_time(msg, int(time.time()))

    def encrypt_at_time(self, msg: bytes, current_time: int) -> bytes:
        return self._fernets[0].encrypt_at_time(msg, current_time)

    def rotate(self, msg: bytes | str) -> bytes:
        timestamp, data = Fernet._get_unverified_token_data(msg)
        for f in self._fernets:
            try:
                p = f._decrypt_data(data, timestamp, None)
                break
            except InvalidToken:
                pass
        else:
            raise InvalidToken

        iv = os.urandom(16)
        return self._fernets[0]._encrypt_from_parts(p, timestamp, iv)

    def decrypt(self, msg: bytes | str, ttl: int | None = None) -> bytes:
        for f in self._fernets:
            try:
                return f.decrypt(msg, ttl)
            except InvalidToken:
                pass
        raise InvalidToken

    def decrypt_at_time(
        self, msg: bytes | str, ttl: int, current_time: int
    ) -> bytes:
        for f in self._fernets:
            try:
                return f.decrypt_at_time(msg, ttl, current_time)
            except InvalidToken:
                pass
        raise InvalidToken

    def extract_timestamp(self, msg: bytes | str) -> int:
        for f in self._fernets:
            try:
                return f.extract_timestamp(msg)
            except InvalidToken:
                pass
        raise InvalidToken
feat(api): 实现图像生成及后台同步功能 - 新增图像生成接口，支持试用、积分和自定义API Key模式 - 实现生成图片结果异步上传至MinIO存储，带重试机制 - 优化积分预扣除和异常退还逻辑，保障用户积分准确 - 添加获取生成历史记录接口，支持时间范围和分页 - 提供本地字典配置接口，支持模型、比例、提示模板和尺寸 - 实现图片批量上传接口，支持S3兼容对象存储 feat(admin): 增加管理员角色管理与权限分配接口 - 实现角色列表查询、角色创建、更新及删除功能 - 增加权限列表查询接口 - 实现用户角色分配接口，便于统一管理用户权限 - 增加系统字典增删查改接口，支持分类过滤和排序 - 权限控制全面覆盖管理接口，保证安全访问 feat(auth): 完善用户登录注册及权限相关接口与页面 - 实现手机号验证码发送及校验功能，保障注册安全 - 支持手机号注册、登录及退出接口，集成日志记录 - 增加修改密码功能，验证原密码后更新 - 提供动态导航菜单接口，基于权限展示不同菜单 - 实现管理界面路由及日志、角色、字典管理页面访问权限控制 - 添加系统日志查询接口，支持关键词和等级筛选 feat(app): 初始化Flask应用并配置蓝图与数据库 - 创建应用程序工厂，加载配置，初始化数据库和Redis客户端 - 注册认证、API及管理员蓝图，整合路由 - 根路由渲染主页模板 - 应用上下文中自动创建数据库表，保证运行环境准备完毕 feat(database): 提供数据库创建与迁移支持脚本 - 新增数据库创建脚本，支持自动检测是否已存在 - 添加数据库表初始化脚本，支持创建和删除所有表 - 实现RBAC权限初始化，包含基础权限和角色创建 - 新增字段手动修复脚本，添加用户API Key和积分字段 - 强制迁移脚本支持清理连接和修复表结构，初始化默认数据及角色分配 feat(config): 新增系统配置参数 - 配置数据库、Redis、Session和MinIO相关参数 - 添加AI接口地址及试用Key配置 - 集成阿里云短信服务配置及开发模式相关参数 feat(extensions): 初始化数据库、Redis和MinIO客户端 - 创建全局SQLAlchemy数据库实例和Redis客户端 - 配置基于boto3的MinIO兼容S3客户端 chore(logs): 添加示例系统日志文件 - 记录用户请求、验证码发送成功与失败的日志信息 2026-01-12 00:53:31 +08:00			`# This file is dual licensed under the terms of the Apache License, Version`
			`# 2.0, and the BSD License. See the LICENSE file in the root of this repository`
			`# for complete details.`

			`from __future__ import annotations`

			`import base64`
			`import binascii`
			`import os`
			`import time`
			`import typing`
feat(payment): 集成支付宝支付与订单管理功能 - 在应用中注册支付蓝图(payment_bp)以支持支付接口 - 配置支付宝相关秘钥、回调地址及环境选项 - 新增订单模型(Order)，支持订单数据存储与管理 - 管理后台接口添加订单列表查询功能，支持超级管理员访问 - 购买页面与表单修改，支持不同套餐的购买提交 - 支付成功页面提示，显示订单编号及积分到账信息 - 移除买积分按钮禁用逻辑，开放购买功能 2026-01-14 17:00:43 +08:00			`from collections.abc import Iterable`
feat(api): 实现图像生成及后台同步功能 - 新增图像生成接口，支持试用、积分和自定义API Key模式 - 实现生成图片结果异步上传至MinIO存储，带重试机制 - 优化积分预扣除和异常退还逻辑，保障用户积分准确 - 添加获取生成历史记录接口，支持时间范围和分页 - 提供本地字典配置接口，支持模型、比例、提示模板和尺寸 - 实现图片批量上传接口，支持S3兼容对象存储 feat(admin): 增加管理员角色管理与权限分配接口 - 实现角色列表查询、角色创建、更新及删除功能 - 增加权限列表查询接口 - 实现用户角色分配接口，便于统一管理用户权限 - 增加系统字典增删查改接口，支持分类过滤和排序 - 权限控制全面覆盖管理接口，保证安全访问 feat(auth): 完善用户登录注册及权限相关接口与页面 - 实现手机号验证码发送及校验功能，保障注册安全 - 支持手机号注册、登录及退出接口，集成日志记录 - 增加修改密码功能，验证原密码后更新 - 提供动态导航菜单接口，基于权限展示不同菜单 - 实现管理界面路由及日志、角色、字典管理页面访问权限控制 - 添加系统日志查询接口，支持关键词和等级筛选 feat(app): 初始化Flask应用并配置蓝图与数据库 - 创建应用程序工厂，加载配置，初始化数据库和Redis客户端 - 注册认证、API及管理员蓝图，整合路由 - 根路由渲染主页模板 - 应用上下文中自动创建数据库表，保证运行环境准备完毕 feat(database): 提供数据库创建与迁移支持脚本 - 新增数据库创建脚本，支持自动检测是否已存在 - 添加数据库表初始化脚本，支持创建和删除所有表 - 实现RBAC权限初始化，包含基础权限和角色创建 - 新增字段手动修复脚本，添加用户API Key和积分字段 - 强制迁移脚本支持清理连接和修复表结构，初始化默认数据及角色分配 feat(config): 新增系统配置参数 - 配置数据库、Redis、Session和MinIO相关参数 - 添加AI接口地址及试用Key配置 - 集成阿里云短信服务配置及开发模式相关参数 feat(extensions): 初始化数据库、Redis和MinIO客户端 - 创建全局SQLAlchemy数据库实例和Redis客户端 - 配置基于boto3的MinIO兼容S3客户端 chore(logs): 添加示例系统日志文件 - 记录用户请求、验证码发送成功与失败的日志信息 2026-01-12 00:53:31 +08:00
			`from cryptography import utils`
			`from cryptography.exceptions import InvalidSignature`
			`from cryptography.hazmat.primitives import hashes, padding`
			`from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes`
			`from cryptography.hazmat.primitives.hmac import HMAC`


			`class InvalidToken(Exception):`
			`pass`


			`_MAX_CLOCK_SKEW = 60`


			`class Fernet:`
			`def __init__(`
			`self,`
			`key: bytes \| str,`
			`backend: typing.Any = None,`
			`) -> None:`
			`try:`
			`key = base64.urlsafe_b64decode(key)`
			`except binascii.Error as exc:`
			`raise ValueError(`
			`"Fernet key must be 32 url-safe base64-encoded bytes."`
			`) from exc`
			`if len(key) != 32:`
			`raise ValueError(`
			`"Fernet key must be 32 url-safe base64-encoded bytes."`
			`)`

			`self._signing_key = key[:16]`
			`self._encryption_key = key[16:]`

			`@classmethod`
			`def generate_key(cls) -> bytes:`
			`return base64.urlsafe_b64encode(os.urandom(32))`

			`def encrypt(self, data: bytes) -> bytes:`
			`return self.encrypt_at_time(data, int(time.time()))`

			`def encrypt_at_time(self, data: bytes, current_time: int) -> bytes:`
			`iv = os.urandom(16)`
			`return self._encrypt_from_parts(data, current_time, iv)`

			`def _encrypt_from_parts(`
			`self, data: bytes, current_time: int, iv: bytes`
			`) -> bytes:`
			`utils._check_bytes("data", data)`

			`padder = padding.PKCS7(algorithms.AES.block_size).padder()`
			`padded_data = padder.update(data) + padder.finalize()`
			`encryptor = Cipher(`
			`algorithms.AES(self._encryption_key),`
			`modes.CBC(iv),`
			`).encryptor()`
			`ciphertext = encryptor.update(padded_data) + encryptor.finalize()`

			`basic_parts = (`
			`b"\x80"`
			`+ current_time.to_bytes(length=8, byteorder="big")`
			`+ iv`
			`+ ciphertext`
			`)`

			`h = HMAC(self._signing_key, hashes.SHA256())`
			`h.update(basic_parts)`
			`hmac = h.finalize()`
			`return base64.urlsafe_b64encode(basic_parts + hmac)`

			`def decrypt(self, token: bytes \| str, ttl: int \| None = None) -> bytes:`
			`timestamp, data = Fernet._get_unverified_token_data(token)`
			`if ttl is None:`
			`time_info = None`
			`else:`
			`time_info = (ttl, int(time.time()))`
			`return self._decrypt_data(data, timestamp, time_info)`

			`def decrypt_at_time(`
			`self, token: bytes \| str, ttl: int, current_time: int`
			`) -> bytes:`
			`if ttl is None:`
			`raise ValueError(`
			`"decrypt_at_time() can only be used with a non-None ttl"`
			`)`
			`timestamp, data = Fernet._get_unverified_token_data(token)`
			`return self._decrypt_data(data, timestamp, (ttl, current_time))`

			`def extract_timestamp(self, token: bytes \| str) -> int:`
			`timestamp, data = Fernet._get_unverified_token_data(token)`
			`# Verify the token was not tampered with.`
			`self._verify_signature(data)`
			`return timestamp`

			`@staticmethod`
			`def _get_unverified_token_data(token: bytes \| str) -> tuple[int, bytes]:`
			`if not isinstance(token, (str, bytes)):`
			`raise TypeError("token must be bytes or str")`

			`try:`
			`data = base64.urlsafe_b64decode(token)`
			`except (TypeError, binascii.Error):`
			`raise InvalidToken`

			`if not data or data[0] != 0x80:`
			`raise InvalidToken`

			`if len(data) < 9:`
			`raise InvalidToken`

			`timestamp = int.from_bytes(data[1:9], byteorder="big")`
			`return timestamp, data`

			`def _verify_signature(self, data: bytes) -> None:`
			`h = HMAC(self._signing_key, hashes.SHA256())`
			`h.update(data[:-32])`
			`try:`
			`h.verify(data[-32:])`
			`except InvalidSignature:`
			`raise InvalidToken`

			`def _decrypt_data(`
			`self,`
			`data: bytes,`
			`timestamp: int,`
			`time_info: tuple[int, int] \| None,`
			`) -> bytes:`
			`if time_info is not None:`
			`ttl, current_time = time_info`
			`if timestamp + ttl < current_time:`
			`raise InvalidToken`

			`if current_time + _MAX_CLOCK_SKEW < timestamp:`
			`raise InvalidToken`

			`self._verify_signature(data)`

			`iv = data[9:25]`
			`ciphertext = data[25:-32]`
			`decryptor = Cipher(`
			`algorithms.AES(self._encryption_key), modes.CBC(iv)`
			`).decryptor()`
			`plaintext_padded = decryptor.update(ciphertext)`
			`try:`
			`plaintext_padded += decryptor.finalize()`
			`except ValueError:`
			`raise InvalidToken`
			`unpadder = padding.PKCS7(algorithms.AES.block_size).unpadder()`

			`unpadded = unpadder.update(plaintext_padded)`
			`try:`
			`unpadded += unpadder.finalize()`
			`except ValueError:`
			`raise InvalidToken`
			`return unpadded`


			`class MultiFernet:`
feat(payment): 集成支付宝支付与订单管理功能 - 在应用中注册支付蓝图(payment_bp)以支持支付接口 - 配置支付宝相关秘钥、回调地址及环境选项 - 新增订单模型(Order)，支持订单数据存储与管理 - 管理后台接口添加订单列表查询功能，支持超级管理员访问 - 购买页面与表单修改，支持不同套餐的购买提交 - 支付成功页面提示，显示订单编号及积分到账信息 - 移除买积分按钮禁用逻辑，开放购买功能 2026-01-14 17:00:43 +08:00			`def __init__(self, fernets: Iterable[Fernet]):`
feat(api): 实现图像生成及后台同步功能 - 新增图像生成接口，支持试用、积分和自定义API Key模式 - 实现生成图片结果异步上传至MinIO存储，带重试机制 - 优化积分预扣除和异常退还逻辑，保障用户积分准确 - 添加获取生成历史记录接口，支持时间范围和分页 - 提供本地字典配置接口，支持模型、比例、提示模板和尺寸 - 实现图片批量上传接口，支持S3兼容对象存储 feat(admin): 增加管理员角色管理与权限分配接口 - 实现角色列表查询、角色创建、更新及删除功能 - 增加权限列表查询接口 - 实现用户角色分配接口，便于统一管理用户权限 - 增加系统字典增删查改接口，支持分类过滤和排序 - 权限控制全面覆盖管理接口，保证安全访问 feat(auth): 完善用户登录注册及权限相关接口与页面 - 实现手机号验证码发送及校验功能，保障注册安全 - 支持手机号注册、登录及退出接口，集成日志记录 - 增加修改密码功能，验证原密码后更新 - 提供动态导航菜单接口，基于权限展示不同菜单 - 实现管理界面路由及日志、角色、字典管理页面访问权限控制 - 添加系统日志查询接口，支持关键词和等级筛选 feat(app): 初始化Flask应用并配置蓝图与数据库 - 创建应用程序工厂，加载配置，初始化数据库和Redis客户端 - 注册认证、API及管理员蓝图，整合路由 - 根路由渲染主页模板 - 应用上下文中自动创建数据库表，保证运行环境准备完毕 feat(database): 提供数据库创建与迁移支持脚本 - 新增数据库创建脚本，支持自动检测是否已存在 - 添加数据库表初始化脚本，支持创建和删除所有表 - 实现RBAC权限初始化，包含基础权限和角色创建 - 新增字段手动修复脚本，添加用户API Key和积分字段 - 强制迁移脚本支持清理连接和修复表结构，初始化默认数据及角色分配 feat(config): 新增系统配置参数 - 配置数据库、Redis、Session和MinIO相关参数 - 添加AI接口地址及试用Key配置 - 集成阿里云短信服务配置及开发模式相关参数 feat(extensions): 初始化数据库、Redis和MinIO客户端 - 创建全局SQLAlchemy数据库实例和Redis客户端 - 配置基于boto3的MinIO兼容S3客户端 chore(logs): 添加示例系统日志文件 - 记录用户请求、验证码发送成功与失败的日志信息 2026-01-12 00:53:31 +08:00			`fernets = list(fernets)`
			`if not fernets:`
			`raise ValueError(`
			`"MultiFernet requires at least one Fernet instance"`
			`)`
			`self._fernets = fernets`

			`def encrypt(self, msg: bytes) -> bytes:`
			`return self.encrypt_at_time(msg, int(time.time()))`

			`def encrypt_at_time(self, msg: bytes, current_time: int) -> bytes:`
			`return self._fernets[0].encrypt_at_time(msg, current_time)`

			`def rotate(self, msg: bytes \| str) -> bytes:`
			`timestamp, data = Fernet._get_unverified_token_data(msg)`
			`for f in self._fernets:`
			`try:`
			`p = f._decrypt_data(data, timestamp, None)`
			`break`
			`except InvalidToken:`
			`pass`
			`else:`
			`raise InvalidToken`

			`iv = os.urandom(16)`
			`return self._fernets[0]._encrypt_from_parts(p, timestamp, iv)`

			`def decrypt(self, msg: bytes \| str, ttl: int \| None = None) -> bytes:`
			`for f in self._fernets:`
			`try:`
			`return f.decrypt(msg, ttl)`
			`except InvalidToken:`
			`pass`
			`raise InvalidToken`

			`def decrypt_at_time(`
			`self, msg: bytes \| str, ttl: int, current_time: int`
			`) -> bytes:`
			`for f in self._fernets:`
			`try:`
			`return f.decrypt_at_time(msg, ttl, current_time)`
			`except InvalidToken:`
			`pass`
			`raise InvalidToken`

			`def extract_timestamp(self, msg: bytes \| str) -> int:`
			`for f in self._fernets:`
			`try:`
			`return f.extract_timestamp(msg)`
			`except InvalidToken:`
			`pass`
			`raise InvalidToken`