Hiển thị an toàn API C# REST cho ngôn ngữ kịch bản như Python

Question

API REST C# của tôi được gọi từ ứng dụng web AngularJS. Tôi bảo mật API Web bằng cách xác thực người dùng và đảm bảo người dùng là một phần của một nhóm cửa sổ cụ thể.

Bây giờ khách hàng muốn tùy chọn gọi API từ tập lệnh (Python). Làm thế nào để tôi thực hiện điều này? Tôi có nên nhờ họ chuyển tên người dùng và mật khẩu như một phần của cuộc gọi json không?

Answer 1

Sử dụng chính xác phương pháp xác thực bạn hiện đang sử dụng.

Dưới đây là ví dụ abasic sử dụng python (chưa được kiểm tra):

from requests.auth import HTTPBasicAuth 
s = requests.Session() 

# Make the initial authentication request from a session object 
s.get('https://omg.wtf/user', auth=HTTPBasicAuth('user', 'pass')) 

# All subsequent requests from that session will include any cookies set in the initial response 
r = s.get('http://omg.wtf/911') 
print(r.text) 

Answer 2

Nếu bạn có thể làm tăng thêm tiêu đề bằng Python dễ dàng, tôi sẽ đề nghị bạn nên sử dụng xác thực token. Microsoft không cung cấp loại xác thực này trực tiếp, nhưng thông qua dự án OWIN. Nó không phải là khó sử dụng, nhưng bạn sẽ cần phải tìm hiểu cách thức các công cụ đầu tiên. Có một hướng dẫn rất tốt và toàn diện here.

Về cơ bản bạn nhận được mã thông báo (có hiệu lực trong một khoảng thời gian) bằng cách cung cấp tên người dùng/mật khẩu. Mã thông báo này được mã hóa/ký tên có nghĩa là chương trình phụ trợ của bạn sẽ tin cậy mà không cần xác thực tên người dùng/mật khẩu trên mỗi yêu cầu (điều này rất tốn kém). Sau đó, bạn cần thêm mã thông báo này vào tiêu đề Authorization bearer token hoặc thông tin tương tự cho mỗi yêu cầu. Ngoài ra, tôi nghĩ bạn có thể có mã thông báo trong cookie để duy trì tính nhất quán ngược nếu bạn muốn.

Tôi khuyên bạn nên sử dụng cùng một cơ chế trong Góc là tốt, vì bạn có thể dễ dàng thêm bộ chặn ở đó và tránh cookie và các rắc rối tiềm ẩn của CSRF với chúng.