是否可以将Flask-Login的身份验证用作REST API的简单HTTP身份验证?

时间:2015-10-13 15:10:58

标签: python flask

现在,我的webapp有一个通过Flask-Login实现的完整身份验证系统。但是说我有这个控制器:

@app.route("/search_query")
@login_required
def search_query():
    query = request.args.get("query")
    return jsonify(search(query))

当您登录页面并对其进行搜索时,如果您通过身份验证,则此功能非常有效,否则会将您路由回登录页面(通过unauthorized_handler函数)。 

@lm.unauthorized_handler
def unauthorized():
    return redirect(url_for("login"))

问题是,我希望能够为此使用某种形式的简单HTTP身份验证,而无需使用两个单独的身份验证系统,以便我可以针对它进行REST API调用。简而言之,我想避免使用Flask-Login和HTTPBasicAuth,只需使用Flask-Login实现简单的身份验证,这可以通过Flask-Login进行吗?

2 个答案:

答案 0 :(得分:0)

如果您正在寻找用户进行身份验证并进行REST API调用,则他们必须在每次api调用时发送其凭据。

你可以做的是一个新的装饰器,它检查auth标头并验证用户身份。

有关详细信息,请参阅我在代码共享上发布的整个应用: http://codeshare.io/bByyF

使用基本身份验证的示例:

def load_user_from_request(f):
    @wraps(f)
    def decorated(*args, **kwargs):
        auth = request.authorization
        if current_user.is_authenticated:
            # allow user through
            return f(*args, **kwargs)
        if auth and check_auth(auth.username, auth.password):
            return f(*args, **kwargs)
        else:
            return bad_auth()

    return decorated

使用该代码,您现在可以装饰您的视图以检查标题。

@app.route("/search_query")
@load_user_from_request
def search_query():
    query = request.args.get("query")
    return jsonify(search(query))

你可以像这样卷曲我的示例应用: curl --user admin@admin.com:secret http://0.0.0.05000/success

答案 1 :(得分:0)

使用flask-login的request_loader从请求auth头加载。您不需要自己实现装饰器,current_user会指向加载的用户。

示例:

login_manager = LoginManager()

@login_manager.request_loader
def load_user_from_header():
    auth = request.authorization
    if not auth:
        return None
    user = User.verify_auth(auth.username, auth.password):
    if not user:
        abort(401)
    return user

这样,您可以将视图标记为登录所必需的:

@app.route('/user/info')
@login_required
def user_info():
    return render_template('user_info.html', current_user.name)
相关问题
最新问题