我想知道是否可以在没有基本身份验证等登录凭据的情况下保护flask api。我只想与我的客户分享密钥和秘密。
答案 0 :(得分:0)
您可以轻松地为您的应用程序编写静态(当然是每个用户)API 密钥。通常这是通过在 HTTP 标头中添加预共享密钥来完成的。或者作为 URI 参数。我更喜欢 HTTP。 Github 中至少有一个可用的库:https://github.com/ericsopa/flask-api-key。并且 api-key 认证很容易自己实现。
为了更好的安全性,您可以使用令牌身份验证。在 https://realpython.com/token-based-authentication-with-flask/
中有解释记住。始终使用 HTTPS 从不使用 HTTP!
在谈论 API 时,我们很多人都会想到 REST。在谈论 REST 和身份验证时,最好记住 REST 是无状态的。因此,在每个请求中都会进行身份验证(例如 sendin 令牌或 API 密钥或凭据)。经过身份验证的用户没有会话。当然,除了 REST,还有许多其他 API。