Flask Basic Auth的實現(xiàn)

本文首發(fā)于Gevin的博客

原文鏈接：Flask Basic Auth的實現(xiàn)

未經(jīng) Gevin 授權(quán)侠碧，禁止轉(zhuǎn)載

RESTful API開發(fā)中，Authentication（認證）機制的實現(xiàn)通常『非常必要』。Basic Auth是配合RESTful API 使用的最簡單的認證方式，只需提供用戶名密碼即可仿滔，Basic Auth 常用于開發(fā)和測試階段桨踪，F(xiàn)lask 作為一個微框架伪节，雖然沒有集成Basic Auth的實現(xiàn)吼砂，但相關(guān)信息均已提供，我們只需做簡單封裝美旧，即可實現(xiàn)Basic Auth渤滞。

<a name="basic_auth"></a> 1. Basic Auth的實現(xiàn)

思路：利用request.authorization和裝飾器

Basic Auth機制，客戶端向服務(wù)器發(fā)請求時榴嗅，會在請求的http header中提供用戶名和密碼作為認證信息妄呕，格式為"Authorization":'basic '+b64Val，其中b64Val為經(jīng)過base64轉(zhuǎn)碼后的用戶名密碼信息嗽测，即b64Val=base64.b64encode('username:password')

Flask 中绪励，客戶端的請求均由request類處理，對于Basic Auth中的傳來的用戶名和密碼论咏，已經(jīng)保存到request.authorization中优炬，即：

    auth = request.authorization
    username = auth.username
    password = auth.password

因此，F(xiàn)lask中只要封裝一個basic auth裝飾器厅贪，然后把該裝飾器應(yīng)用到需要使用basic auth的API中即可：

def basic_auth_required(f):
    @wraps(f)
    def decorated(*args, **kwargs):
        auth = request.authorization
        if not auth or not check_auth(auth.username, auth.password):
            return not_authenticated()
        return f(*args, **kwargs)
    return decorated

其中，check_auth()和not_authenticated()函數(shù)實現(xiàn)如下：

def check_auth(username, password):
    """This function is called to check if a username /
    password combination is valid.
    """
    try:
        user = models.User.objects.get(username=username)
    except models.User.DoesNotExist:
        user = None

    if user and user.verify_password(password):
        return True

    return False

def not_authenticated():
    """Sends a 401 response that enables basic auth"""
    return Response(
    'Could not verify your access level for that URL.\n'
    'You have to login with proper credentials', 401,
    {'WWW-Authenticate': 'Basic realm="Login Required"'})

API中使用該裝飾器時雅宾，即可完成API的basic auth認證機制养涮。對function view和class based view實現(xiàn)分別如下：

# function View
@basic_auth_required
def test_get_current_user():
    return jsonify(username=current_user.username)

# Class Based View
class TestAPIView(MethodView):
    decorators = [basic_auth_required, ]

    def get(self):
        data = {'a':1, 'b':2, 'c':3}
        return jsonify(data)

    def post(self):
        data = request.get_json()
        return jsonify(data)

    def put(self):
        data = request.get_json()
        return jsonify(data)

    def patch(self):
        data = request.get_json()
        return jsonify(data)

<a name="flask-login"></a> 2. Basic Auth 與 Flask-login的結(jié)合

Flask-login中的current_user是一個非常好用的對象，使業(yè)務(wù)邏輯與當(dāng)前用戶產(chǎn)生交集時眉抬，用戶相關(guān)信息能夠信手即來贯吓。在RESTful API開發(fā)中，很多API的業(yè)務(wù)邏輯也會與認證用戶發(fā)生交集蜀变，如果current_user依然有效悄谐，很多相關(guān)業(yè)務(wù)邏輯可以解耦，代碼也會更加優(yōu)雅库北。但Flask-login中爬舰，current_user默認是基于session的们陆，API中不存在session，current_user無法使用情屹。所幸強大的Flask-login 內(nèi)置了request_loader callback坪仇，允許通過header中的信息加載當(dāng)前用戶，方法如下：

@login_manager.request_loader
def load_user_from_request(request):
    auth = request.authorization
    if not auth:
        return None
    try:
        user = User.objects.get(username=auth.username)
    except User.DoesNotExist:
        user = None
    return user

把上面代碼放到項目中垃你，就可以在API的業(yè)務(wù)邏輯中把basic auth 和 current user結(jié)合用起來椅文，如：

@basic_auth_required
def test_get_current_user():
    return jsonify(username=current_user.username)

最后編輯于：2017.12.06 02:54:50

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個濱河市惜颇，隨后出現(xiàn)的幾起案子皆刺，更是在濱河造成了極大的恐慌，老刑警劉巖凌摄，帶你破解...
沈念sama閱讀 206,013評論 6贊 481
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件芹橡，死亡現(xiàn)場離奇詭異，居然都是意外死亡望伦，警方通過查閱死者的電腦和手機林说，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,205評論 2贊 382
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來屯伞，“玉大人腿箩，你說我怎么就攤上這事×右。” “怎么了珠移？”我有些...
開封第一講書人閱讀 152,370評論 0贊 342
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長末融。經(jīng)常有香客問我钧惧，道長，這世上最難降的妖魔是什么勾习？我笑而不...
開封第一講書人閱讀 55,168評論 1贊 278
?港島之戀（遺憾婚禮）
正文為了忘掉前任浓瞪，我火速辦了婚禮，結(jié)果婚禮上巧婶，老公的妹妹穿的比我還像新娘乾颁。我一直安慰自己，他們只是感情好艺栈，可當(dāng)我...
茶點故事閱讀 64,153評論 5贊 371
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布英岭。她就那樣靜靜地躺著，像睡著了一般湿右。火紅的嫁衣襯著肌膚如雪诅妹。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 48,954評論 1贊 283
城市分裂傳說
那天毅人，我揣著相機與錄音吭狡，去河邊找鬼尖殃。笑死，一個胖子當(dāng)著我的面吹牛赵刑，可吹牛的內(nèi)容都是我干的分衫。我是一名探鬼主播，決...
沈念sama閱讀 38,271評論 3贊 399
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼般此，長吁一口氣：“原來是場噩夢啊……” “哼蚪战！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起铐懊，我...
開封第一講書人閱讀 36,916評論 0贊 259
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤邀桑，失蹤者是張志新（化名）和其女友劉穎，沒想到半個月后科乎，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體壁畸，經(jīng)...
沈念sama閱讀 43,382評論 1贊 300
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 35,877評論 2贊 323
?白月光啟示錄
正文我和宋清朗相戀三年茅茂，在試婚紗的時候發(fā)現(xiàn)自己被綠了捏萍。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點故事閱讀 37,989評論 1贊 333
活死人
序言：一個原本活蹦亂跳的男人離奇死亡空闲，死狀恐怖令杈，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情碴倾，我是刑警寧澤逗噩，帶...
沈念sama閱讀 33,624評論 4贊 322
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站跌榔，受9級特大地震影響异雁，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜僧须，卻給世界環(huán)境...
茶點故事閱讀 39,209評論 3贊 307
男人毒藥：我在死后第九天來索命
文/蒙蒙一纲刀、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧皆辽，春花似錦柑蛇、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,199評論 0贊 19
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽空免。三九已至空另，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間蹋砚，已是汗流浹背扼菠。一陣腳步聲響...
開封第一講書人閱讀 31,418評論 1贊 260
情欲美人皮
我被黑心中介騙來泰國打工摄杂，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留，地道東北人循榆。一個月前我還...
沈念sama閱讀 45,401評論 2贊 352
代替公主和親
正文我出身青樓析恢，卻偏偏與公主長得像，于是被迫代替她去往敵國和親秧饮。傳聞我的和親對象是個殘疾皇子映挂，可洞房花燭夜當(dāng)晚...
茶點故事閱讀 42,700評論 2贊 345

Flask Basic Auth的實現(xiàn)

<a name="basic_auth"></a> 1. Basic Auth的實現(xiàn)

<a name="flask-login"></a> 2. Basic Auth 與 Flask-login的結(jié)合

推薦閱讀更多精彩內(nèi)容