寻找建议来保护用python-flask编写的私有REST API

栏目: 编程工具 · 发布时间: 6年前

内容简介：如果要验证客户端,可以使用SSL客户端证书.也就是说,一般来说,很难真正将客户端锁定在恶意用户身上,所以我会考虑使用注册功能公开访问,并通过带外帐户验证保护自己免受DOS等等.http://stackoverflow.com/questions/7224615/looking-for-advice-to-secure-a-private-rest-api-written-in-python-flask

我目前正在使用微型薄膜烧瓶在 python 中编写一个休息API.它是一个私有的API,它处理用户数据.我打算使用这个API来构建一个网络和一个Android应用程序.

现在我使用消息验证来保护私人用户数据.例如,如果要使用用户bob在我的服务上发布数据,您可以在myapi / story / create发送请求,并使用摘要模式提供bob的凭据.

我知道这不是一个好的解决方案,因为：

-Digest auth不安全

– 客户端未通过身份验证(如何保护与当前用户无关的请求,例如创建新用户？)

我阅读了很多有关oAuth的内容,但三腿身份验证似乎过于杀伤,因为我不打算将API开放给第三方.

双脚oAuth不适合,因为它只为客户端而不是用户提供身份验证.

oAuth的另一个问题是我没有找到一个全面的指南来实现它在Python中.我发现了 python-oauth2 库,但我不明白服务器的示例,我找不到其他文档.另外,在这个例子中,oAuth的很多方面都没有涵盖.

所以我的问题是：

>是否有替代方案(而不是oAuth)验证客户端和用户具有合理的安全级别？

>如果oAuth是最好的解决方案：

>如何跳过授权过程(因为用户不必授权第三方客户端)？