Flask-Security docs提到所有重要视图端点的JSON / Ajax支持。因此,通过使用JSON对象命中视图,可以获得所有buts-in Flask-Security非常棒的功能。
但是,现在我正在尝试将它作为RESTful API的一部分使用,并且它不起作用,因为它需要一个CSRF令牌,这对于网页是必需的,但对于API则不需要:
{
"meta": {
"code": 400
},
"response": {
"errors": {
"csrf_token": [
"CSRF token missing"
]
}
}
}
解决这个问题的最佳方法是什么?
答案 0 :(得分:6)
使用REST API时,首选方法是使用JSON Web Token(JWT)之类的基于令牌的身份验证。此方案具有不同的安全性,因为您不在服务器端生成HTML或使用cookie。我不是安全专家,但从我所读过的内容来看,这意味着您不会受到跨站点请求伪造(CSRF)的影响。这就是在Flask-Security中关闭CSRF令牌的原因。
尝试使用基于PyJWT令牌的身份验证方案。要获取令牌,您需要将凭据发布到'登录'端点并接收响应中的令牌。然后,您必须通过HTTP标头发送每个请求的令牌。您通常可以在JS端全局设置它。
以下是一些参考文献:
注意:似乎Flask-JWT使用的python itsdangerous
库暂时没有更新。这里有一个讨论:https://github.com/mattupstate/flask-jwt/issues/10同样,我不是安全专家,两个库似乎默认使用相同的算法处理编码/解码。 PyJWT和Python-Jose都列在jwt.io上并具有扩展功能。
答案 1 :(得分:0)
好的,想通了。它需要的是为应用程序设置的Flask配置变量:
WTF_CSRF_ENABLED = False