使用烧瓶-安全性作为REST的一部分

Question

酒瓶-安全文档提到了对所有重要视图端点的JSON/Ajax支持。因此，通过使用JSON对象访问视图，就有可能获得所有的buit-in Flask-Security。

但是，现在我尝试将它作为RESTful API的一部分使用，但它不起作用，因为它需要一个CSRF令牌，这对于网页来说是必需的，但对于API则不是必需的：

{
    "meta": {
        "code": 400
    },
    "response": {
        "errors": {
            "csrf_token": [
                "CSRF token missing"
            ]
        }
    }
}

绕开这件事最好的办法是什么？

Answer 1

在使用REST时，首选方法是基于令牌的身份验证，类似于JSON令牌(JWT)。此方案具有不同的安全前景，因为您没有在服务器端生成HTML或使用cookie。我不是安全专家，但据我所读到，这意味着您不容易受到跨站点请求伪造(CSRF)的影响。这就是为什么在烧瓶中关闭CSRF令牌的原因-安全是可以的。

尝试使用基于PyJWT令牌的身份验证方案。要获得令牌，您可以将凭据发布到“登录”端点，并接收一个令牌作为响应。然后，您必须通过HTTP报头发送每个请求的令牌。您通常可以在JS方面全局设置它。

以下是一些参考资料：

• http://jwt.io/
• https://pythonhosted.org/Flask-JWT/ (见下文注)
• 将不稳定的、安全的和常规的Python请求结合在一起。
• https://github.com/jpadilla/pyjwt/
• https://github.com/mpdavis/python-jose/
• https://auth0.com/docs/server-apis/python
• https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
• https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tokens-and-cookies/

注意:Flask似乎使用了有一段时间没有更新的python库。这里有一个讨论：https://github.com/mattupstate/flask-jwt/issues/10，我不是一个安全专家，这两个库在默认情况下使用相同的算法处理编码/解码。PyJWT和Python都列在jwt.io上，并具有扩展功能。

Answer 2

好吧，想清楚了。它所需要的只是为应用程序设置一个Flask配置变量：

WTF_CSRF_ENABLED = False