Mã thông báo CSRF Flask-Security

Question

Tôi có một ứng dụng bình phục vụ như là phụ trợ REST API. Tôi muốn thực hiện xác thực dựa trên mã thông báo cho chương trình phụ trợ nhưng để thực hiện điều đó, tôi cần truy xuất mã thông báo người dùng. Tài liệu Flask-Security nói rõ ràng rằng để lấy mã thông báo, người dùng cần thực hiện một HTTP POST với các chi tiết xác thực như dữ liệu JSON đến điểm cuối xác thực. Rất tiếc, tôi không hiểu cách lấy mã thông báo CSRF cần thiết để thực hiện yêu cầu đó.

Nếu tôi sử dụng trang đăng nhập/mẫu được cung cấp cùng với phần mở rộng, mã thông báo CSRF được chuyển cho khách hàng trong trường ẩn trong biểu mẫu. Câu hỏi là:

làm cách nào để truy xuất mã thông báo CSRF mà không truy cập và phân tích trang đăng nhập, chẳng hạn như từ ứng dụng angularJS sử dụng phương thức $ http hoặc ứng dụng dành cho thiết bị di động?

Rõ ràng là tôi có thể tránh sử dụng Flask-Security và tự triển khai các phần nhưng tôi thiếu kinh nghiệm với các ứng dụng web và tôi cảm thấy tôi có thể đang tiếp cận sai hướng này.

Answer 1

Tôi chưa thử nghiệm công trình này, nhưng từ kiểm tra ngắn gọn source code có vẻ như bạn phải gửi yêu cầu GET đến URL đăng nhập với loại nội dung được đặt thành application/json. Flask-Security đáp ứng yêu cầu này với một phiên bản JSON của biểu mẫu đăng nhập và bao gồm mã thông báo. Khi bạn có mã thông báo, bạn có thể gửi yêu cầu POST.

Answer 2

Tôi đã có một trường hợp sử dụng tương tự và kết thúc giải quyết nó bằng cách làm theo ví dụ này từ các tài liệu Flask-WTF: https://flask-wtf.readthedocs.org/en/latest/csrf.html#ajax

Vì vậy, bằng CSRF Bảo vệ ứng dụng thông qua CsrfProtect(app), các csrf_token() có sẵn trong tất cả các mẫu. Sau đó, bạn có thể dễ dàng cung cấp thẻ thông qua thẻ tập lệnh:

<script type="text/javascript"> 
    var csrftoken = "{{ csrf_token() }}" 
</script> 

Bây giờ, thêm mã thông báo cho dữ liệu bài đăng của bạn cho điểm cuối Flask-Security/login.

Answer 3

[Viết như một câu trả lời vì tôi không có đủ uy tín để bình luận]

tôi đã chạy vào vấn đề chính xác giống như Jacopo, trong đó - request.json rỗng và do đó get_auth_token() không được kích hoạt .

BTW - Flask Security documentation nói:

Mã xác thực dựa được kích hoạt bằng cách lấy token của user auth bằng cách thực hiện một HTTP POST với các chi tiết xác thực như dữ liệu JSON so với endpoint xác thực.

Vì vậy, tôi đã cố gắng POST, GET không (Vẫn cùng một vấn đề của request.json trống) tôi gọi/đăng nhập với dữ liệu json như:

{"email": "test@example.com", "password": "test123"} 

và gửi một yêu cầu sử dụng của khách hàng Postman trong Google Chrome .

Tuy nhiên, request.json trống :(

Edit:. Tôi đã có thể di chuyển về phía trước sử dụng mô-đun yêu cầu python Chi tiết here

Answer 4

tôi đã chiến đấu với vấn đề này trong nhiều giờ đêm qua.Đây là những gì đã kết thúc làm việc cho tôi:

Khi tôi tạo ra ví dụ ứng dụng của tôi:

app = Flask(__name__) 
app.config.from_object(config_by_name[config_name]) 

# Create database connection object 
app.db = db 
app.db.init_app(app) 

CsrfProtect(app) 

Trong HTML/đăng nhập của tôi:

<meta name="csrf-token" content="{{ csrf_token() }}"> 

Từ Postman:

Đây là một giải pháp thay thế mà tôi đã thử và có thể điều này sẽ thành công hơn? Đây là cơ bản trả lời tương tự mà các ứng dụng ví dụ bình-an ninh cho:

Answer 5

Vâng, có một cách đơn giản. Visit. Một mục cấu hình WTF_CSRF_ENABLED có thể được đặt thành False để tắt csrf. Sau đó, mọi thứ diễn ra theo ý muốn của bạn.