我希望使用Flask保护Web API并与flask-admin集成以提供管理界面。我搜索并发现flask-admin在/admin有一个管理面板,默认情况下任何人都可以访问它。它不提供身份验证系统并且完全打开(没有任何安全性),因为他们没有假设用于提供安全性的内容。此API必须在生产中使用,因此我们无法为每个访问网址的人提供开放式/admin路由。需要进行适当的身份验证。
在views.py中我无法简单地放置/admin路由并通过装饰器提供身份验证,因为这会覆盖已由flask-admin创建的现有路由,以便导致错误。
进一步的研究表明,有两个模块flask-admin和flask-security。我知道flask-admin有is_accessible方法来保护它,但它并没有提供flask-security提供的大量功能。
我没有找到任何方法来保护终点/admin以及以/admin开头的所有其他终点,例如/admin/<something>。
我正专门用flask-security来完成这项任务。如果不可能,请提出替代方案。
PS:我知道我可以锁定ngnix本身,但这将是最后一个选项。如果我可以通过flask-security获得一个很好的身份验证系统。
答案 0 :(得分:11)
由于这是“flask-security secure admin”谷歌搜索的第一个结果,并且还没有开箱即用的解决方案,我想我可以做出贡献。
在flask-admin项目Issue List上提出了一个类似的问题,并提供了一个使用flask-login和mogodb的简单示例here。
我使用SQLAchemy作为sqlite数据库和flask-security的例子。请参阅下面的样品瓶应用程序:
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import os
import os.path as op
from flask import Flask, render_template, url_for, request
from flask_sqlalchemy import SQLAlchemy
from sqlalchemy.event import listens_for
from flask.ext.security import current_user, login_required, RoleMixin, Security, SQLAlchemyUserDatastore, UserMixin
from flask_admin import Admin, AdminIndexView
from flask_admin.contrib import sqla
# Create application
app = Flask(__name__)
# Create dummy secrety key so we can use sessions
app.config['SECRET_KEY'] = '123456790'
# Create in-memory database
app.config['DATABASE_FILE'] = 'sample_db.sqlite'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///' + app.config['DATABASE_FILE']
app.config['SQLALCHEMY_ECHO'] = True
db = SQLAlchemy(app)
# Create directory for file fields to use
file_path = op.join(op.dirname(__file__), 'static/files')
# flask-security models
roles_users = db.Table('roles_users',
db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))
class Role(db.Model, RoleMixin):
id = db.Column(db.Integer(), primary_key=True)
name = db.Column(db.String(80), unique=True)
description = db.Column(db.String(255))
class User(db.Model, UserMixin):
id = db.Column(db.Integer, primary_key=True)
email = db.Column(db.String(255), unique=True)
password = db.Column(db.String(255))
active = db.Column(db.Boolean())
confirmed_at = db.Column(db.DateTime())
roles = db.relationship('Role', secondary=roles_users,
backref=db.backref('users', lazy='dynamic'))
# Create Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)
# Only needed on first execution to create first user
#@app.before_first_request
#def create_user():
# db.create_all()
# user_datastore.create_user(email='yourmail@mail.com', password='pass')
# db.session.commit()
class AnyModel(db.Model):
id = db.Column(db.Integer, primary_key=True)
name = db.Column(db.Unicode(64))
def __unicode__(self):
return self.name
class MyAdminIndexView(AdminIndexView):
def is_accessible(self):
return current_user.is_authenticated() # This does the trick rendering the view only if the user is authenticated
# Create admin. In this block you pass your custom admin index view to your admin area
admin = Admin(app, 'Admin Area', template_mode='bootstrap3', index_view=MyAdminIndexView())
# Add views
admin.add_view(sqla.ModelView(AnyModel, db.session))
# To acess the logout just type the route /logout on browser. That redirects you to the index
@login_required
@app.route('/login')
def login():
return redirect('/admin')
@app.route('/')
def index():
return render_template('index.html')
if __name__ == '__main__':
# Build sample db on the fly, if one does not exist yet.
db.create_all()
app.run(debug=True)
请参阅flask-security文档以了解how to customize the login page。
希望这有帮助。
答案 1 :(得分:8)
您应该查看Flask-Security-Admin项目,我认为它非常清楚地涵盖您正在寻找的内容。
直接从上面的链接中获取:
- 当您第一次访问该应用程序的主页时,由于Flask-Security,系统将提示您登录。</ li>
- 如果您使用username=someone@example.com和密码=密码登录,则您将拥有“最终用户”角色。
- 如果您使用username=admin@example.com和密码=密码登录,则您将拥有“管理员”角色。
- 允许任一角色访问主页。
- 允许任一角色访问/ admin页面。但是,除非您具有“admin”角色,否则您将无法在此页面上看到用于管理用户和角色的选项卡。
- 只允许管理员角色访问/ admin页面的子页面,例如/ admin / userview。否则,您将收到“禁止”回复。
- 请注意,在编辑用户时,由于Flask-Admin,会自动填充角色名称。
- 您可以添加和编辑用户和角色。生成的用户将能够登录(除非您设置active = false),如果他们具有“admin”角色,则可以执行管理。
相关代码位于main.py中,并且有明确的注释,以解释如何使用flask-security复制保护瓶管理面板的过程。
最基本,最相关的部分如下(第152行 - ):
# Prevent administration of Users unless the currently logged-in user has the "admin" role
def is_accessible(self):
return current_user.has_role('admin')
我希望这有用。
答案 2 :(得分:2)
我对所有子视图使用@RamiMac的答案,但对于索引1(默认为/admin),我使用此方法,使用admin重新包装方法要查看的角色。
@app.before_first_request
def restrict_admin_url():
endpoint = 'admin.index'
url = url_for(endpoint)
admin_index = app.view_functions.pop(endpoint)
@app.route(url, endpoint=endpoint)
@roles_required('admin')
def secure_admin_index():
return admin_index()
在我的项目中,这直接在我的所有Flask-Admin代码之后,代码本身位于其自己的启动脚本custom_flaskadmin.py中。
答案 3 :(得分:1)
Flask-Admin文档中有关于安全性的部分:http://flask-admin.readthedocs.io/en/latest/introduction/#authorization-permissions