This topic created in 3248 days ago, the information mentioned may be changed or developed.
新学上手,跌跌撞撞做了一个生产信息的展示系统,后端用 flask 提供 json 数据的 api 接口,前端用 ajax 去获取数据,定时更新。不同的生产数据应该要对应权限的人才能看到,现在我已经用 flask-login 做好了基本的用户登录及权限功能,但这只能保护特定页面不被访问到,可是 api 接口都是暴露在外面的,直接就能绕过页面,拿到 json 数据。我想知道怎么才能和 flask-login 一样,将接口保护起来。
Supplement 1 · Jun 6, 2017
比如现在有 2 个部门,要求是生产部只能看到生产数据,采购部只能看到采购数据。但现在用 flask-login,只能限制到生产部的人只可访以问生产数据的展示页面,采购部的人只可以访问采购数据的展示页面。可是由于数据都是通过后台 api 传过来的 json 数据,那么只要生产部的人知道了采购 api 的 url,他就能绕过页面限制,直接得到采购的 json 数据。我的意思就是怎样避免这种情况发生,把 api 保护起来,只对特定用户开放。
 |
1
sivacohan PRO 没太明白你的意思。
是想要 login_required 吗? |
 |
2
Kilerd Jun 6, 2017
API 的话不能用 flask-login,因为 API 访问是绕过 session 的(所谓的无状态访问)
所以在访问 API 的时候,应该需要访问时加入一个“人为的 session ”,也就是 token。 |
 |
3
ddragonever Jun 6, 2017
自己写装饰器 装饰器里面定义自己需要的功能,对请求进行拦截处理就可以了,flask 的路由其实也是装饰器实现的
@api.route('/api/res') @admin_required def test(): # do something 比如这里,自己定义一下 admin_required 就可以了 |
 |
4
ericls Jun 6, 2017 via iPhone
就 jwt 了吧 简单好用
|
 |
5
mzmxcvbn OP @sivacohan 比如现在有 2 个部门,要求是生产部只能看到生产数据,采购部只能看到采购数据。但现在用 flask-login,只能限制到生产部的人只可访以问生产数据的展示页面,采购部的人只可以访问采购数据的展示页面。可是由于数据都是通过后台 api 传过来的 json 数据,那么只要生产部的人知道了采购 api 的 url,他就能绕过页面限制,直接得到采购的 json 数据。我的意思就是怎样避免这种情况发生,把 api 保护起来,只对特定用户开放。
|
 |
7
bolide2005 Jun 6, 2017
@mzmxcvbn 知乎上的问题也是你问的吗?我感觉我答案里说清楚了啊。jwt 只是身份验证的标志,通过 flask-login 登录后,生成一个 token 返回给前端,以后就可以通过这个 token 找到对应的用户,用户有没有权限访问 api 就可以通过后端来验证了。
其实关键的地方不在于 jwt 或者别的什么 token,而在于两点: 1.用户要有权限等级的分配,你需要在用户系统里加入权限的概念,不同的用户访问不同等级的 API 接口,这一步其实不需要 jwt,flask-login 也是能实现的 2.对每一次用户的请求,要识别出是哪个用户发起的,基本实现的方式就是写 cookie。 建议使用 jwt 只是因为它很方便,不需要在后端数据库里维护一个 token-user 的表,把权限直接写进 token 里,每次解析出来校验一下就行了。 |
 |
8
qq316107934 Jun 6, 2017 via Android
我觉得楼主需要的是用户角色管理
|
 |
9
awanabe Jun 6, 2017
在 API 上加个权限控制,需要用户登陆之后保存到客户端的的 token 或者 cookie
|
 |
10
siteshen Jun 6, 2017
写成 decorator 更好, 实现函数 is_in_prod_department(user) 可视复杂成都,有下面三个方案供参考:
1. 增加字段 user.department (一对一) 2. 增加表 user_department (多对多) 3. 参考 django 的 user 系统,user, user_group, user_permission, group_permission , permission def prod_department_only_api(): if not flask_login.current_user.is_authorized: abort(400) if not is_in_prod_department(flask_login.current_user): abort(403) # logic here |
 |
11
alvy Jun 6, 2017
jwt+1
|
 |
12
brucedone Jun 6, 2017
apigateway 啊,保护 api,从我做起,写一个网关系统,有认证机制
|
 |
13
Responsible Jun 6, 2017 via Android
|
 |
14
ipconfiger Jun 6, 2017
楼主需要的是一个通用的 RBAC 系统
|
 |
15
elvis_w Jun 6, 2017
|
 |
16
onyourroad Jun 6, 2017
不知道 flask 有没有 Django REST framework 这种框架,这个可以满足你的需求。
|
 |
17
yanzixuan Jun 6, 2017
我是在 header 里面加 token 解决的。。。就是不知道是不是标准做法。。
|
 |
19
KgM4gLtF0shViDH3 Jun 7, 2017 via Android
post 的数据里面加个 token 字段,用 token 来分辨登陆的人
|
 |
20
mingyun Jun 10, 2017
赞同 7 楼 jwt 使用很简单,支持各个语言
|
 |
21
workwonder Jun 21, 2017 via Android
为应对简单的场景并保持一定灵活性,我这样搞:
``` @app.route('/api/a') @user_passes_test(lambda u: u.group == 'Role-A') def view_a() : pass ``` 首先要自己实现 user_passes_test 装饰器,lambda 就是一段检测用户是否有权访问的代码。我举的这个例子还体现了根据用户所属的分组来划分权限的思路。 还可以基于此搞一些常用封装,比如: login_required = user_passes_test(lambda u: u.is_authenticated == True) |
Select Language