内容简介:如果要验证客户端,可以使用SSL客户端证书.也就是说,一般来说,很难真正将客户端锁定在恶意用户身上,所以我会考虑使用注册功能公开访问,并通过带外帐户验证保护自己免受DOS等等.http://stackoverflow.com/questions/7224615/looking-for-advice-to-secure-a-private-rest-api-written-in-python-flask
我目前正在使用微型薄膜烧瓶在 python 中编写一个休息API.它是一个私有的API,它处理用户数据.我打算使用这个API来构建一个网络和一个Android应用程序.
现在我使用消息验证来保护私人用户数据.例如,如果要使用用户bob在我的服务上发布数据,您可以在myapi / story / create发送请求,并使用摘要模式提供bob的凭据.
我知道这不是一个好的解决方案,因为:
-Digest auth不安全
– 客户端未通过身份验证(如何保护与当前用户无关的请求,例如创建新用户?)
我阅读了很多有关oAuth的内容,但三腿身份验证似乎过于杀伤,因为我不打算将API开放给第三方.
双脚oAuth不适合,因为它只为客户端而不是用户提供身份验证.
oAuth的另一个问题是我没有找到一个全面的指南来实现它在Python中.我发现了 python-oauth2 库,但我不明白服务器的示例,我找不到其他文档.另外,在这个例子中,oAuth的很多方面都没有涵盖.
所以我的问题是:
>是否有替代方案(而不是oAuth)验证客户端和用户具有合理的安全级别?
>如果oAuth是最好的解决方案:
>如何跳过授权过程(因为用户不必授权第三方客户端)?
>是否有python-oauth2或任何其他Python库的文件?
任何帮助或建议将不胜感激.
如果要验证客户端,可以使用SSL客户端证书.也就是说,一般来说,很难真正将客户端锁定在恶意用户身上,所以我会考虑使用注册功能公开访问,并通过带外帐户验证保护自己免受DOS等等.
http://stackoverflow.com/questions/7224615/looking-for-advice-to-secure-a-private-rest-api-written-in-python-flask
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- Erlang私有函数的私有程度如何?
- JavaScript 新语法详解:Class 的私有属性与私有方法
- 实战maven私有仓库三部曲之二:上传到私有仓库
- 实战maven私有仓库三部曲之三:Docker下搭建maven私有仓库
- 项目招标 中国移动廊坊私有云资源池SDN系统集采开启,进一步私有云池扩容
- docker私有仓库搭建
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
