flask-HTTPAuth

Flask-HTTPAuth是一个简单的扩展,它简化了使用Flask路由的HTTP身份验证的使用。

基本认证示例

详情可见 : https://www.cnblogs.com/Erick-L/p/7060806.html

以下示例应用程序使用HTTP基本身份验证来保护路由'/':

flask-HTTPAuth_第1张图片

该get_password回调需要返回给定作为参数的用户名关联的密码。Flask-HTTPAuth仅允许访问。get_password(username) == password

如果密码存储在用户数据库中,则需要额外的回调:

当hash_password提供回调时,将授予访问权限。get_password(username) ==hash_password(password)

如果散列算法需要知道用户名,则回调可以采用两个参数而不是一个:

为了最大程度的灵活性,可以使用verify_password替换get_password和hash_password回调:

在examples目录中,您可以找到一个名为basic_auth.py的示例,该示例显示了如何使用verify_password回调来安全地使用散列密码。

摘要认证示例

以下示例与前一个示例类似,但使用HTTP摘要式身份验证:

flask-HTTPAuth_第2张图片

安全问题的安全问题

摘要认证算法要求将挑战发送到客户端以用于加密密码以进行传输。当在服务器上解码密码时,需要再次使用此挑战,因此需要存储挑战信息以便以后可以调用。

默认情况下,Flask-HTTPAuth将挑战数据存储在Flask会话中。要在使用会话存储时使身份验证流安全,需要使用服务器端会话而不是默认的基于Flask cookie的会话,因为这可确保挑战数据在cookie中移动时不会被捕获。服务器和客户端之间。Flask-Session和Flask-KVSession扩展都是实现服务器端会话的非常好的选择。

作为使用服务器端会话的替代方案,应用程序可以实现其自己的挑战数据的生成和存储。为此,应用程序需要实现四个回调函数:

flask-HTTPAuth_第3张图片

有关它们nonce和opaque值的含义以及它们在摘要式身份验证中的使用方式的信息,请参阅RFC 2617。

令牌认证方案示例

以下示例应用程序使用自定义HTTP身份验证方案来'/'使用令牌保护路由:

flask-HTTPAuth_第4张图片

这HTTPTokenAuth是一个通用的身份验证处理程序,可以与非标准身份验证方案一起使用,方案名称在构造函数中作为参数给出。在上面的示例中,WWW-Authenticate服务器提供的标头将Token用作方案:

该verify_token回调接收由在客户端上所提供的认证证书Authorization标头。这可以是一个简单的标记,也可以包含多个参数,函数必须从字符串中解析和提取。

在examples目录中,您可以找到使用JWT令牌的完整示例

使用多个认证方案

应用程序有时需要支持认证方法的组合。例如,可以通过基本身份验证发送客户端ID和密码来验证Web应用程序,而第三方API客户端使用JWT承载令牌。该MultiAuth类可以保护一个以上的认证对象的路径。要授予对端点的访问权限,其中一种身份验证方法必须进行验证。

在examples目录中,您可以找到使用基本身份验证和令牌身份验证的完整示例。

部署注意事项

请注意,Authorization默认情况下,某些Web服务器不会将标头传递给WSGI应用程序。例如,如果将Apache与mod_wsgi一起使用,则必须按照此处的说明设置选项。WSGIPassAuthorization On

API文档

flask_httpauth.HTTPBasicAuth

    此类处理Flask路由的HTTP基本身份验证。

    __init__(scheme = Nonerealm = None 

        创建基本身份验证对象。

        如果提供了可选scheme参数,则将在WWW-Authenticate响应中使用它而不是标准的“Basic”方案。一种相当常见的做法是使用自定义方案来阻止浏览器提示用户登录。

        该realm参数可用于为WWW-Authenticate头部提供应用程序定义的域。

get_password(password_callback 

    框架将调用此回调函数以获取给定用户的密码。例:

hash_password(hash_password_callback 

如果已定义,框架将调用此回调函数,以将自定义哈希算法应用于客户端提供的密码。如果未提供此回调,则将更改密码。回调可以带一个或两个参数。一个参数版本接收哈希密码,而两个参数版本按该顺序接收用户名和密码。单个参数回调示例:

示例二参数回调:

verify_password(verify_password_callback 

如果已定义,框架将调用此回调函数以验证客户端提供的用户名和密码组合是否有效。回调函数有两个参数,用户名和密码,必须返回True或False。用法示例:

flask-HTTPAuth_第5张图片

如果这个回调的定义,它也被调用时,该请求不具有Authorization与用户凭据头,而在这种情况下,无论是username和password参数都设置为空字符串。客户端可以选择返回True,这将允许匿名用户访问该路由。回调函数可以通过写入状态变量来指示用户是匿名的flask.g,然后路由可以检查以生成适当的响应。

请注意,当verify_password提供回调时,不使用get_password和hash_password回调。

error_handler(error_callback 

如果已定义,则在需要将身份验证错误发送回客户端时,框架将调用此回调函数。此函数的返回值可以是作为字符串的响应主体,也可以是使用创建的响应对象make_response。如果未提供此回调,则会生成默认错误响应。例:

login_required(view_function_callback 

验证成功后将调用此回调函数。这通常是Flask视图功能。例:

username()

受此类保护的视图函数可以通过此方法访问记录的用户名。例:

flask_httpauth.HTTPDigestAuth

此类处理Flask路由的HTTP摘要身份验证。该SECRET_KEY配置必须在瓶应用程序设置,使会议的工作。默认情况下,Flask将客户端中的用户会话存储为安全cookie,因此客户端必须能够处理cookie。要支持非Web浏览器或无法处理cookie的客户端,必须使用在服务器中写入会话的会话接口。

__init__(selfscheme = Nonerealm = Noneuse_ha1_pw = False 

创建摘要认证对象。

如果提供了可选scheme参数,则将在WWW-Authenticate响应中使用它而不是“摘要”方案。一种相当常见的做法是使用自定义方案来阻止浏览器提示用户登录。

该realm参数可用于为WWW-Authenticate头部提供应用程序定义的域。

如果use_ha1_pw为False,则get_password回调需要返回给定用户的纯文本密码。如果use_ha1_pw为True,则get_password回调需要返回给定用户的HA1值。设置的优点use_ha1_pw来True是它允许存储在用户数据库中的密码的哈希值HA1应用。

generate_ha1用户名密码

生成use_ha1_pw在构造函数中设置为True 时可以存储在用户数据库中的HA1哈希。

generate_nonce(nonce_making_callback 

如果已定义,框架将调用此回调函数以生成随机数。如果定义了这个,verify_nonce也应该定义。

这可以用于使用除会话之外的状态存储机制。

verify_nonce(nonce_verify_callback 

如果已定义,框架将调用此回调函数以验证nonce是否有效。它将使用单个参数调用:要验证的随机数。

这可以用于使用除会话之外的状态存储机制。

generate_opaque(opaque_making_callback 

如果已定义,框架将调用此回调函数以生成不透明值。如果定义了这个,verify_opaque也应该定义。

这可以用于使用除会话之外的状态存储机制。

verify_opaque(opaque_verify_callback 

如果已定义,框架将调用此回调函数以验证不透明值是否有效。它将使用单个参数调用:要验证的不透明值。

这可以用于使用除会话之外的状态存储机制。

get_password(password_callback 

有关文档和示例,请参阅基本身份验

error_handler(error_callback 

有关文档和示例,请参阅基本身份验

login_required(view_function_callback 

有关文档和示例,请参阅基本身份验

username()

有关文档和示例,请参阅基本身份验

flask_httpauth.HTTPTokenAuth

此类使用Flask路由的自定义方案处理HTTP身份验证。

__init__(schemerealm = None 

创建令牌认证对象。

在scheme必须被提供的参数在所使用WWW-Authenticate的反应。

该realm参数可用于为WWW-Authenticate头部提供应用程序定义的域。

verify_tokenverify_token_callback 

框架将调用此回调函数,以验证客户端使用Authorization标头发送的凭据是否有效。回调函数接受一个参数,用户名和密码,必须返回True或False。用法示例:

请注意,verify_token使用此类时需要回调。

error_handler(error_callback 

有关文档和示例,请参阅基本身份验

login_required(view_function_callback 

有关文档和示例,请参阅基本身份验

你可能感兴趣的:(flask-HTTPAuth)