如何保护烧瓶上的 REST Api

Question

我需要在我的应用上开发一个 Rest API（基于 Flask）

但我真的不知道应该如何保护它。

目前，我对来自浏览器的用户进行了正常的身份验证。 （使用会话等）

但是对于 API 用户，我应该在每次 API 请求时询问用户名/密码吗？ 真的有保障吗？ 我知道很多 Web API 使用令牌进行 API 调用，这是最好的方法吗？

在这种情况下，如何实现呢？ （这不是我真正的专业领域..） 非常感谢

Answer 1

您应该使用token based authentication 技术来保护您的API，一旦您的用户登录，这个概念很简单，您的网站应该将其保存在某个地方，然后您将该令牌发回给您的用户。

对于您的 API 的每次调用，用户应在每个 API 请求中发送令牌，您应验证编码的令牌并拒绝或发回响应。

看看这里：https://realpython.com/blog/python/token-based-authentication-with-flask/

也检查一下http://flask-jwt-extended.readthedocs.io/en/latest/

为了获得更好的性能，您可以将会话令牌存储在 NOSQL 数据库中，例如 Redis。

要支持使用社交媒体网站登录，您应该使用 OAuth，它的工作方式相同，只是它向客户端发送了几个令牌。