Python/Flask - flask_httpauthとflask_restlessを使用

Question

この質問の私の目的は私のAPIを保護することです。

私のアプリケーションでは、PersonオブジェクトにFlaskとflask_restlessのAPIManagerを使用してCRUD APIを提供しています。

コードサンプル：

manager = APIManager(app, flask_sqlalchemy_db=db) 
manager.create_api(Person, methods=['GET', 'POST', 'PATCH', 'DELETE']) 

も、このように私の他のルートを保護するためにflask_httpauthを使用して：

@app.route('/auth/get-token') 
@auth.login_required 
def get_auth_token(): 
    token = g.user.generate_auth_token() 
    return jsonify({'token': token.decode('ascii'), 'fullname': g.user.fullname}) 

私はそれが応答しないためにapimanagerと@auth.login_requiredを使用する方法を見つけ出すことができませんでした匿名の要求には、私はプリプロセッサについてのドキュメントを読みましたが、@auth.login_requiredデコレータで使用する方法も見つけられませんでした。

ご協力いただきますようお願い申し上げます。

Answer 1

残念ながら、Flask-Restlessは現在、管理しているルートにビューデコレータを接続することを公式にはサポートしていません。この機能を追加するにはopen issueがあり、具体的にはFlask-HTTPAuthのサポートを要求するanother issueもあります。

third issueがあります.Flask-Restlessがエンドポイントを作成した後、ユーザーが手動でデコレータを挿入する手法を示しています。 get_cacheデコレータを追加し、そのユーザーの例からの抜粋は以下の通りです：あなたのケースでは

manager = flask.ext.restless.APIManager(app, flask_sqlalchemy_db=db) 
manager.create_api(Person, methods=['GET', 'POST', 'DELETE']) 
manager.create_api(Person2, methods=['GET', 'POST', 'DELETE']) 

# hackish view decoration: 
for model in [Person, Person2]: 
    model_route = '{0}api0.{0}api'.format(model.__name__.lower()) 
    app.view_functions[model_route] = get_cache(app.view_functions[model_route]) 

、あなたはauth.login_requiredとget_cacheを置き換えます。

更新：コメントで後述するように、'{0}api0.{0}api'の引数はテーブル名なので、上記のコードはFlask-SQLAlchemyが生成するテーブル名が残っている場合にのみ機能します。モデルにカスタムテーブル名がある場合は、model.__name__.lower()の代わりにそのテーブル名を使用します。

Answer 2

Flask-Securityをお勧めします。 APIインターフェイスのセキュリティを使用する方法については、tutorialがあります。