在Flask中是否有可以使用API​​密钥进行身份验证的方法？

Question

我有一个小API，我想添加身份验证。我希望能够为API使用者生成API密钥;然后消费者可以使用包含其请求请求的密钥。

是否有一个Flask库可以做这样的事情？或者有一种典型的方法吗？我做了一个搜索，我只是真的遇到了this，这并没有真正深入。我正在找一个图书馆。如果有的话。

Answer 1

对于身份验证密钥，请创建随机值并将该值存储在数据库中。 random()为此类内容提供的熵不足，因此请使用os.urandom()。

您发布的链接有一个非常好的示例，说明如何使用装饰器功能处理事物。在装饰器函数中，检查请求中设置的appkey值，验证它在数据库中是否有效，然后返回该函数。如果appkey无效，raise AuthenticationError("Invalid appkey")就完成了。

您链接的示例有点令人困惑。我更喜欢How to make a chain of function decorators?的演示。

def checkAppKey(fn):
    def inner(*args, **kwargs): #appkey should be in kwargs
        try:
            AppKey.get(appkey)
        except KeyError:
            raise AuthenticationError("Invalid appkey")
            #Whatever other errors can raise up such as db inaccessible
        #We were able to access that API key, so pass onward.
        #If you know nothing else will use the appkey after this, you can unset it.
        return fn(*args, **kwargs)
    return inner

Answer 2

这是一个使用hashlib的函数，它对我来说效果很好：

def generate_hash_key():
    """
    @return: A hashkey for use to authenticate agains the API.
    """
    return base64.b64encode(hashlib.sha256(str(random.getrandbits(256))).digest(),
                            random.choice(['rA', 'aZ', 'gQ', 'hH', 'hG', 'aR', 'DD'])).rstrip('==')

在应用程序中实现此功能的可能解决方案可能是在您要保护的每条路线上应用装饰器。

示例：

def get_apiauth_object_by_key(key):
    """
    Query the datastorage for an API key.
    @param ip: ip address
    @return: apiauth sqlachemy object.
    """
    return model.APIAuth.query.filter_by(key=key).first()

def match_api_keys(key, ip):
    """
   Match API keys and discard ip
   @param key: API key from request
   @param ip: remote host IP to match the key.
   @return: boolean
   """
   if key is None or ip is None:
      return False
   api_key = get_apiauth_object_by_key(key)
   if api_key is None:
      return False
   elif api_key.ip == "0.0.0.0":   # 0.0.0.0 means all IPs.
      return True
   elif api_key.key == key and api_key.ip == ip:
      return True
   return False

def require_app_key(f):
   """
   @param f: flask function
   @return: decorator, return the wrapped function or abort json object.
   """

   @wraps(f)
   def decorated(*args, **kwargs):
      if match_api_keys(request.args.get('key'), request.remote_addr):
         return f(*args, **kwargs)
      else:
         with log_to_file:
            log.warning("Unauthorized address trying to use API: " + request.remote_addr)
         abort(401)
      return decorated

然后您可以使用装饰器：

@require_app_key
def delete_cake(version, cake_id):
   """
   Controller for API Function that gets a cake by ID
   @param cake_id: cake id
   @return: Response and HTTP code
   """

此示例使用SQLAlchemy将密钥存储在数据库中（您可以使用SQLite）。

您可以在此处查看实施：https://github.com/haukurk/flask-restapi-recipe。

Answer 3

生成API密钥的“典型”方法是创建UUID（通常通过创建某些用户信息子集的md5哈希+稍微随机的信息（如当前时间））。

但是，所有API密钥都应该是UUID。由md5创建的十六进制哈希符合此要求，但肯定还有其他方法。

为用户创建密钥后，将其作为用户信息的一部分存储在数据库中，并检查其密钥（通常存储在cookie中）与您拥有的密钥相匹配。在您链接到的页面中（有些）描述了它的实际机制。