中止 401 上的烧瓶中间件导致 500

Posted 2023-02-22

【中文标题】中止 401 上的烧瓶中间件导致 500

【英文标题】：Flask middleware on abort 401 causing a 500

【发布时间】：2015-03-25 19:06:25

【问题描述】：

我的 Flask 应用程序中有一个中间件，用于验证请求标头中的 JSON Web Token 并正在检查以验证它，下面是我的中间件类：

class AuthMiddleware(object):

    def __init__(self, app):
        self.app = app

    def __call__(self, environ, start_response):
        path = environ.get('PATH_INFO')
        if path != '/authenticate' or path != '/token':
            token = environ.get('HTTP_X_ACCESS_TOKEN')
            verfied_token = verify_token(token)
            if verfied_token is False:
                abort(401)
            elif verfied_token is True:
                # payload = get_token_payload(token)
                # check_permissions(payload)
                pass

        return self.app(environ, start_response) 

verify_token() 是一个会返回 True 或 False 的函数，如果它返回 False，我希望它中止并返回错误 401。但是，它会中止并返回错误 500：

127.0.0.1 - - [25/Mar/2015 11:37:25] "POST /role HTTP/1.1" 500 -
Error on request:
Traceback (most recent call last):
File "/ENV/lib/python2.7/site-packages/werkzeug/serving.py", line 180, in run_wsgi
execute(self.server.app)
File "/ENV/lib/python2.7/site-packages/werkzeug/serving.py", line 168, in execute
application_iter = app(environ, start_response)
File "/ENV/lib/python2.7/site-packages/flask/app.py", line 1836, in __call__
return self.wsgi_app(environ, start_response)
File "/middleware.py", line 24, in __call__
return self.app(environ, start_response) 
File "/ENV/lib/python2.7/site-packages/werkzeug/exceptions.py", line 605, in __call__
raise self.mapping[code](*args, **kwargs)
BadRequest: 400: Bad Request

在我看来，我应该中止 401，但这似乎是个问题。我该怎么办？

【参考方案1】：

您展示的中间件运行一些其他代码，然后调用包装好的 Flask 应用程序。但是，abort 会引发 Flask 处理但不由 WSGI 直接处理的异常。由于您尚未在 Flask 应用程序中，因此它无法处理异常。

更简单的方法是在 Flask 应用程序中执行此检查。创建一个before_request 处理程序，它的作用与中间件基本相同，只是您可以使用flask.request，而不需要自己解析路径和标头。

from flask import request, abort

@app.before_request
def check_auth_token():
    if request.path in ('/authenticate', '/token'):
        return

    token = request.headers.get('X-ACCESS-TOKEN')

    if not verify_token(token):
        abort(401)

    check_permissions(get_token_payload(token))

---

如果您确实想要为此使用 WSGI 中间件，您需要自己创建响应。方便的是，Werkzeug 的异常行为类似于 WSGI 应用程序，因此使用起来很简单。

from werkzeug.exceptions import Unauthorized

# in place of abort(401) in the middleware
return Unauthorized()(environ, start_response)

您也可以使用abort，但仍然可以通过捕获它引发的异常（同样是 WSGI 应用程序）。

from werkzeug.exceptions import abort, HTTPException
# werkzeug.exceptions.abort is the same as flask.abort

try:
    abort(401)
except HTTPException as e:
    return e(environ, start_response)