如何为Python REST API实现基于角色的授权?

时间:2016-07-22 00:08:12

标签: rest python-3.x authorization restful-architecture role-base-authorization

我的应用程序的基本架构是React前端,它使用位于多语言存储层之上的RESTful API。

前端
反应消费API

返回端:
Python的
烧瓶

验证
Auth0 + 1563

一切都很好。但是,我需要为用户提供不同的角色。换句话说,我需要根据角色控制用户可以对资源执行的操作。

示例:
-User A想要添加新用户
- 他的请求中有令牌,因此我知道用户A已通过身份验证 - 现在我需要确保他可以根据自己的角色添加用户。

我不想按照其他解决方案的建议对用户角色进行硬编码,我希望允许添加自定义角色。

另外,我希望尊重人们的时间,所以如果有资源解决我的问题,请随时指出。

这些是我的问题:
 1.是否有实施我想要实现的目标的最佳实践?  你能指点我讨论授权(不是认证)的例子或教程吗?  3.如果经过身份验证的用户也可以执行操作,或者我是否在授权后以某种形式提供角色,我是否检查每个服务呼叫?因此服务请求包含身份验证和授权令牌?(这似乎很容易破解,所以我猜不是......)

如果我对授权主题感到困惑,那是因为我。请随时向我指出任何对您有帮助的资源。

提前感谢您抽出宝贵时间提供帮助!我真的很感激。

1 个答案:

答案 0 :(得分:1)

您可以使用基于YosaiApache Shiro框架。

这些是features

  • 通过权限级别和角色级访问控制启用基于角色的访问控制策略
  • 双因素身份验证,具有基于时间的一次性密码
  • 对缓存和序列化的本机支持
  • 事件驱动处理
  • 准备进行Web集成
相关问题
最新问题