如何固定烧瓶 api?
How do I secure a flask api?
我的目标是通过 aws beantalk 上基于令牌的身份验证来保护 api。我使用烧瓶作为框架。要使用 API,用户只需要 url 和一个令牌。
我真的想让它尽可能简单但又安全。
我的做法:
from flask import Flask, jsonify, request
app = Flask(__name__)
@app.route('/test', methods=['GET'])
def get_tasks():
headers = request.headers
auth = headers.get("auth")
if auth == lookupTokenInDatabase():
return jsonify({"message": "OK: Authorized"}), 200
else:
return jsonify({"message": "ERROR: Unauthorized"}), 401
if __name__ == '__main__':
app.run(debug=True)
客户端请求如下所示:
import requests
url = "test"
payload = {}
headers = {'auth':'token'}
response = requests.request("GET", url, headers=headers, data = payload)
print(response)
我知道这可能不是最先进的,但它至少提供了某种类型的安全性吗?
我使用 Flask-JWT-extended 之类的东西,您可以生成“api 令牌”,一旦用户登录使用 flask 发送 jwt 令牌并在 x/y 时间内有效将其保存在 cookie 中。之后设置您的前端以在每个请求上发送“不记名令牌”,以便您可以在后端验证用户。
我的目标是通过 aws beantalk 上基于令牌的身份验证来保护 api。我使用烧瓶作为框架。要使用 API,用户只需要 url 和一个令牌。
我真的想让它尽可能简单但又安全。
我的做法:
from flask import Flask, jsonify, request
app = Flask(__name__)
@app.route('/test', methods=['GET'])
def get_tasks():
headers = request.headers
auth = headers.get("auth")
if auth == lookupTokenInDatabase():
return jsonify({"message": "OK: Authorized"}), 200
else:
return jsonify({"message": "ERROR: Unauthorized"}), 401
if __name__ == '__main__':
app.run(debug=True)
客户端请求如下所示:
import requests
url = "test"
payload = {}
headers = {'auth':'token'}
response = requests.request("GET", url, headers=headers, data = payload)
print(response)
我知道这可能不是最先进的,但它至少提供了某种类型的安全性吗?
我使用 Flask-JWT-extended 之类的东西,您可以生成“api 令牌”,一旦用户登录使用 flask 发送 jwt 令牌并在 x/y 时间内有效将其保存在 cookie 中。之后设置您的前端以在每个请求上发送“不记名令牌”,以便您可以在后端验证用户。