使用Flask-Security作为REST API的一部分

Question

Flask-Security docs提到所有重要视图端点的JSON / Ajax支持。因此，通过使用JSON对象命中视图，可以获得所有buts-in Flask-Security非常棒的功能。

但是，现在我正在尝试将它作为RESTful API的一部分使用，并且它不起作用，因为它需要一个CSRF令牌，这对于网页是必需的，但对于API则不需要：

{
    "meta": {
        "code": 400
    },
    "response": {
        "errors": {
            "csrf_token": [
                "CSRF token missing"
            ]
        }
    }
}

解决这个问题的最佳方法是什么？

Answer 1

使用REST API时，首选方法是使用JSON Web Token（JWT）之类的基于令牌的身份验证。此方案具有不同的安全性，因为您不在服务器端生成HTML或使用cookie。我不是安全专家，但从我所读过的内容来看，这意味着您不会受到跨站点请求伪造（CSRF）的影响。这就是在Flask-Security中关闭CSRF令牌的原因。

尝试使用基于PyJWT令牌的身份验证方案。要获取令牌，您需要将凭据发布到＆＃39;登录＆＃39;端点并接收响应中的令牌。然后，您必须通过HTTP标头发送每个请求的令牌。您通常可以在JS端全局设置它。

以下是一些参考文献：

• http://jwt.io/
• https://pythonhosted.org/Flask-JWT/（请参阅下面的说明）
• Combining Flask-restless, Flask-security and regular Python requests
• https://github.com/jpadilla/pyjwt/
• https://github.com/mpdavis/python-jose/
• https://auth0.com/docs/server-apis/python
• https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
• https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tokens-and-cookies/

注意：似乎Flask-JWT使用的python itsdangerous库暂时没有更新。这里有一个讨论：https://github.com/mattupstate/flask-jwt/issues/10同样，我不是安全专家，两个库似乎默认使用相同的算法处理编码/解码。 PyJWT和Python-Jose都列在jwt.io上并具有扩展功能。

Answer 2

好的，想通了。它需要的是为应用程序设置的Flask配置变量：

WTF_CSRF_ENABLED = False