Tôi hiện đang viết một API còn lại trong python với Microframework Flask. Đây là API riêng tư và giao dịch với dữ liệu người dùng. Tôi dự định sử dụng API này để xây dựng web và ứng dụng Android.Tìm kiếm lời khuyên để bảo mật API REST riêng được viết trong python-flask
Hiện tại tôi sử dụng xác thực thông báo để bảo mật dữ liệu người dùng cá nhân. Ví dụ: nếu bạn muốn đăng dữ liệu trên dịch vụ của mình với người dùng bob, bạn thực hiện yêu cầu đăng bài tại myapi/story/create và cung cấp thông tin xác thực của Bob với mẫu thông báo.
Tôi biết đây không phải là một giải pháp tốt vì:
auth -Digest không an toàn
-Các khách hàng không được chứng thực (? Làm thế nào để đảm bảo yêu cầu không liên quan với người sử dụng hiện nay, ví dụ như tạo một người dùng mới)
Tôi đã đọc rất nhiều nội dung về oAuth nhưng xác thực 3 chân có vẻ quá mức cần thiết vì tôi không có kế hoạch mở API của mình cho bên thứ ba.
OAuth 2 chân sẽ không phù hợp vì nó chỉ cung cấp xác thực cho khách hàng chứ không chỉ cho người dùng.
Một vấn đề khác với oAuth là tôi chưa tìm thấy hướng dẫn toàn diện để triển khai nó bằng Python. Tôi đã tìm thấy thư viện python-oauth2 nhưng tôi không hiểu ví dụ về máy chủ và tôi không thể tìm thấy tài liệu bổ sung. Thêm vào đó có vẻ như nhiều khía cạnh của oAuth không được đề cập trong ví dụ này.
Vì vậy, câu hỏi của tôi là:
- Có kế hoạch thay thế (không OAuth) cho xác thực cả khách hàng và người dùng với một mức độ hợp lý của an ninh?
- Nếu oAuth là giải pháp tốt nhất:
- Làm cách nào để bỏ qua quá trình cấp phép (vì người dùng sẽ không phải ủy quyền cho khách hàng bên thứ ba)?
- Có tài liệu hướng dẫn được giải nén cho python-oauth2 hoặc cho bất kỳ thư viện Python nào khác không?
Bất kỳ trợ giúp hoặc lời khuyên nào sẽ được đánh giá cao.
Liên quan đến một trong những vấn đề của mình, một phần lớn các trang web lớn không cho phép bạn đăng ký thông qua khách hàng vv, họ làm cho bạn đăng ký thông qua trang web của họ. Đối với những trang web cho phép điều đó, cuộc gọi API của họ có hiệu quả giống như biểu mẫu đăng ký của họ, vì vậy không quan trọng nếu nó an toàn hay không. –