这是一个创建于 3099 天前的主题,其中的信息可能已经有所发展或是发生改变。
新学上手,跌跌撞撞做了一个生产信息的展示系统,后端用 flask 提供 json 数据的 api 接口,前端用 ajax 去获取数据,定时更新。不同的生产数据应该要对应权限的人才能看到,现在我已经用 flask-login 做好了基本的用户登录及权限功能,但这只能保护特定页面不被访问到,可是 api 接口都是暴露在外面的,直接就能绕过页面,拿到 json 数据。我想知道怎么才能和 flask-login 一样,将接口保护起来。
第 1 条附言 2017-06-06 10:24:22 +08:00
比如现在有 2 个部门,要求是生产部只能看到生产数据,采购部只能看到采购数据。但现在用 flask-login,只能限制到生产部的人只可访以问生产数据的展示页面,采购部的人只可以访问采购数据的展示页面。可是由于数据都是通过后台 api 传过来的 json 数据,那么只要生产部的人知道了采购 api 的 url,他就能绕过页面限制,直接得到采购的 json 数据。我的意思就是怎样避免这种情况发生,把 api 保护起来,只对特定用户开放。
 | 1 sivacohan PRO 没太明白你的意思。 是想要 login_required 吗? |
 | 2 Kilerd 2017-06-06 09:11:21 +08:00 API 的话不能用 flask-login,因为 API 访问是绕过 session 的(所谓的无状态访问) 所以在访问 API 的时候,应该需要访问时加入一个“人为的 session ”,也就是 token。 |
 | 3 ddragonever 2017-06-06 09:30:53 +08:00 自己写装饰器 装饰器里面定义自己需要的功能,对请求进行拦截处理就可以了,flask 的路由其实也是装饰器实现的 @api.route('/api/res') @admin_required def test(): # do something 比如这里,自己定义一下 admin_required 就可以了 |
 | 4 ericls 2017-06-06 09:31:58 +08:00 via iPhone 就 jwt 了吧 简单好用 |
 | 5 mzmxcvbn OP @sivacohan 比如现在有 2 个部门,要求是生产部只能看到生产数据,采购部只能看到采购数据。但现在用 flask-login,只能限制到生产部的人只可访以问生产数据的展示页面,采购部的人只可以访问采购数据的展示页面。可是由于数据都是通过后台 api 传过来的 json 数据,那么只要生产部的人知道了采购 api 的 url,他就能绕过页面限制,直接得到采购的 json 数据。我的意思就是怎样避免这种情况发生,把 api 保护起来,只对特定用户开放。 |
| 6 mzmxcvbn OP @ericls 我看了一下这个 JWT,我想问一下这个东西可以和 flask-login 并存吗。两套东西怎么互通呢? |
 | 7 bolide2005 2017-06-06 10:56:58 +08:00 @mzmxcvbn 知乎上的问题也是你问的吗?我感觉我答案里说清楚了啊。jwt 只是身份验证的标志,通过 flask-login 登录后,生成一个 token 返回给前端,以后就可以通过这个 token 找到对应的用户,用户有没有权限访问 api 就可以通过后端来验证了。 其实关键的地方不在于 jwt 或者别的什么 token,而在于两点: 1.用户要有权限等级的分配,你需要在用户系统里加入权限的概念,不同的用户访问不同等级的 API 接口,这一步其实不需要 jwt,flask-login 也是能实现的 2.对每一次用户的请求,要识别出是哪个用户发起的,基本实现的方式就是写 cookie。 建议使用 jwt 只是因为它很方便,不需要在后端数据库里维护一个 token-user 的表,把权限直接写进 token 里,每次解析出来校验一下就行了。 |
 | 8 qq316107934 2017-06-06 11:03:36 +08:00 via Android 我觉得楼主需要的是用户角色管理 |
 | 9 awanabe 2017-06-06 11:56:23 +08:00 在 API 上加个权限控制,需要用户登陆之后保存到客户端的的 token 或者 cookie |
 | 10 siteshen 2017-06-06 13:22:32 +08:00 写成 decorator 更好, 实现函数 is_in_prod_department(user) 可视复杂成都,有下面三个方案供参考: 1. 增加字段 user.department (一对一) 2. 增加表 user_department (多对多) 3. 参考 django 的 user 系统,user, user_group, user_permission, group_permission , permission def prod_department_only_api(): if not flask_login.current_user.is_authorized: abort(400) if not is_in_prod_department(flask_login.current_user): abort(403) # logic here |
 | 11 alvy 2017-06-06 13:38:34 +08:00 jwt+1 |
 | 12 brucedone 2017-06-06 14:13:02 +08:00 apigateway 啊,保护 api,从我做起,写一个网关系统,有认证机制 |
 | 13 Responsible 2017-06-06 14:19:43 +08:00 via Android |
 | 14 ipconfiger 2017-06-06 14:39:18 +08:00 楼主需要的是一个通用的 RBAC 系统 |
 | 15 elvis_w 2017-06-06 15:32:10 +08:00 |
 | 16 onyourroad 2017-06-06 20:13:56 +08:00 不知道 flask 有没有 Django REST framework 这种框架,这个可以满足你的需求。 |
 | 17 yanzixuan 2017-06-06 22:19:29 +08:00 我是在 header 里面加 token 解决的。。。就是不知道是不是标准做法。。 |
 | 19 KgM4gLtF0shViDH3 2017-06-07 19:23:41 +08:00 via Android post 的数据里面加个 token 字段,用 token 来分辨登陆的人 |
 | 20 mingyun 2017-06-10 09:34:44 +08:00 赞同 7 楼 jwt 使用很简单,支持各个语言 |
 | 21 workwonder 2017-06-21 22:36:03 +08:00 via Android 为应对简单的场景并保持一定灵活性,我这样搞: ``` @app.route('/api/a') @user_passes_test(lambda u: u.group == 'Role-A') def view_a() : pass ``` 首先要自己实现 user_passes_test 装饰器,lambda 就是一段检测用户是否有权访问的代码。我举的这个例子还体现了根据用户所属的分组来划分权限的思路。 还可以基于此搞一些常用封装,比如: login_required = user_passes_test(lambda u: u.is_authenticated == True) |
Select Language