烧瓶用户认证

Posted 2023-02-23

【中文标题】烧瓶用户认证

【英文标题】：Flask user authentication

【发布时间】：2011-10-21 19:51:43

【问题描述】：

我有一个将使用 flask 和 mongodb 的应用程序；我可能会将其托管在机架空间上。

我需要了解烧瓶身份验证的工作原理。我没有找到关于这个主题的太多信息。是否有关于如何推出自己的解决方案的完整教程？如果没有，我当然想听听一些关于您如何为烧瓶应用程序处理它的想法。

大 PS：

我只是想了一下。我还需要打开一个真正的 API。该 API 的一部分将用于前端的 AJAX。如何保护应用程序的这一部分？

谁能解释 API 身份验证请求？

【参考方案1】：

从技术上讲，Flask-Login 不进行身份验证 - 它进行会话管理，将（难以安全地实施）身份验证详细信息留给您。像Flask-Security 这样的东西实际上同时实现了会话管理和身份验证（还有密码恢复/重置等不错的功能），代价是必须明确支持您的数据库。

【参考方案2】：

我建议使用flask-login 扩展程序，它使会话管理非常容易添加到您的flask 应用程序中，并提供了一个很好的documentation，它详细介绍了扩展程序的各个方面。

【讨论】：

这是一个经过验证的扩展吗？你在生产中使用过吗？它有多安全？

我只在 1 个应用程序中使用过它，而且它看起来做得很好。但是，如果您真的担心安全问题，您可能希望自己查看它的代码（或您为此使用的任何库的代码）。

它非常安全，恕我直言。使用 MD5，如果担心冲突，可以将其更改为 SHA2。

虽然我没有理由相信flask-login 是不安全的，但我想在这里插话并提到标榜这种或那种哈希算法作为安全条非常具有误导性。 security != algorithm 和 security != bit-length!

@DhaivatPandya flask-login 根本不使用任何算法，因为由程序员来验证和存储凭据。

【参考方案3】：

我认为flask没有内置任何身份验证，仅支持跟踪会话。

这里是some snippets，用于基本的 HTTP 身份验证和一些第三方提供商的身份验证。否则，您将需要自行开发或使用包含此功能的框架（如 Django）

这里有一个discussion thread on this topic 有一个有用的链接

【讨论】：

谢谢 rupello。这确实是我正在寻找的。一步一步地介绍如何滚动。我自己的 。据我了解，flask 可以跟踪会话，因此我需要在某种检查器中装饰受限功能。但是ajax部分呢？还有 .. 一篇论文可以帮助我避免做出错误的选择来搞砸事情