尋找建議來保護用python-flask編寫的私有REST API
我目前正在使用微型薄膜燒瓶在python中編寫一個休息API.它是一個私有的API,它處理使用者資料.我打算使用這個API來構建一個網路和一個Android應用程式.
現在我使用訊息驗證來保護私人使用者資料.例如,如果要使用使用者bob在我的服務上釋出資料,您可以在myapi / story / create傳送請求,並使用摘要模式提供bob的憑據.
我知道這不是一個好的解決方案,因為:
-Digest auth不安全
– 客戶端未通過身份驗證(如何保護與當前使用者無關的請求,例如建立新使用者?)
我閱讀了很多有關oAuth的內容,但三腿身份驗證似乎過於殺傷,因為我不打算將API開放給第三方.
雙腳oAuth不適合,因為它只為客戶端而不是使用者提供身份驗證.
oAuth的另一個問題是我沒有找到一個全面的指南來實現它在Python中.我發現了ofollow,noindex" target="_blank">python-oauth2 庫,但我不明白伺服器的示例,我找不到其他文件.另外,在這個例子中,oAuth的很多方面都沒有涵蓋.
所以我的問題是:
>是否有替代方案(而不是oAuth)驗證客戶端和使用者具有合理的安全級別?
>如果oAuth是最好的解決方案:
>如何跳過授權過程(因為使用者不必授權第三方客戶端)?
>是否有python-oauth2或任何其他Python庫的檔案?
任何幫助或建議將不勝感激.
如果要驗證客戶端,可以使用SSL客戶端證書.也就是說,一般來說,很難真正將客戶端鎖定在惡意使用者身上,所以我會考慮使用註冊功能公開訪問,並通過帶外帳戶驗證保護自己免受DOS等等.
http://stackoverflow.com/questions/7224615/looking-for-advice-to-secure-a-private-rest-api-written-in-python-flask