尋找建議來保護用python-flask編寫的私有REST API

我目前正在使用微型薄膜燒瓶在python中編寫一個休息API.它是一個私有的API,它處理使用者資料.我打算使用這個API來構建一個網路和一個Android應用程式.

現在我使用訊息驗證來保護私人使用者資料.例如,如果要使用使用者bob在我的服務上釋出資料,您可以在myapi / story / create傳送請求,並使用摘要模式提供bob的憑據.

我知道這不是一個好的解決方案,因為：

-Digest auth不安全

– 客戶端未通過身份驗證(如何保護與當前使用者無關的請求,例如建立新使用者？)

我閱讀了很多有關oAuth的內容,但三腿身份驗證似乎過於殺傷,因為我不打算將API開放給第三方.

雙腳oAuth不適合,因為它只為客戶端而不是使用者提供身份驗證.

oAuth的另一個問題是我沒有找到一個全面的指南來實現它在Python中.我發現了ofollow,noindex" target="_blank">python-oauth2 庫,但我不明白伺服器的示例,我找不到其他文件.另外,在這個例子中,oAuth的很多方面都沒有涵蓋.

所以我的問題是：

>是否有替代方案(而不是oAuth)驗證客戶端和使用者具有合理的安全級別？

>如果oAuth是最好的解決方案：

>如何跳過授權過程(因為使用者不必授權第三方客戶端)？

>是否有python-oauth2或任何其他Python庫的檔案？

任何幫助或建議將不勝感激.