【发布时间】:2022-07-20 20:28:12
【问题描述】:
目前,我有一个使用 Connexion 并接收 OpenAPI 规范的有效 API:
connexion_app.add_api(
"openapi.yaml",
options={"swagger_ui": False},
validate_responses=True,
strict_validation=True, # Changing this also didn't help
)
响应按以下顺序进行验证:
- 检查 API-Key 是否有效
- 验证请求正文是否包含所有必要参数
- 验证消息签名
- 处理请求并发送响应
API-Key 的验证是通过 OpenAPI 规范完成的:
securitySchemes:
apiKeyAuth:
type: apiKey
in: header
name: API-Key
x-apikeyInfoFunc: server.security.check_api_key
security:
- apiKeyAuth: []
验证也是通过 OpenAPI 规范完成的。
签名在端点中得到验证:
if not verify_signature(kwargs):
abort(401, "Signature could not be verified")
verify_signature 基本上是这样的:
def verify_signature(request) -> bool:
"""Calculate the signature using the header and data."""
signature = re.findall(r'"([A-Za-z0-9+/=]+)"', connexion.request.headers.get("Message-Signature", ""))
created = re.findall(r"created=(\d+)", connexion.request.headers.get("Message-Signature", ""))
if len(signature) == 0:
abort(401, "No valid Signature found.")
if len(created) == 0:
abort(401, "No valid created timestamp found.")
signature = signature[0]
created = int(created[0])
method, path, host, api_key, content_type = _get_attributes_from_request()
message = create_signature_message(request["body"], created, method, path, host, api_key, content_type)
recreated_signature = _encode_message(message)
return recreated_signature == str(signature)
出于安全考虑,我想交换 2. 和 3.:
- 检查 API-Key 是否有效
- 验证消息签名
- 验证请求正文是否包含所有必要参数
- 处理请求并发送响应
问题在于,Connexion 会在我到达我执行 Python 代码(例如 verify_signature)的端点之前验证正文。
我尝试将以下内容添加到我的 OpenAPI.yaml:
signatureAuth:
type: http
scheme: basic
x-basicInfoFunc: server.security.verify_signature
security:
- apiKeyAuth: []
signatureAuth: []
但我认为这是错误的方法,因为我认为这仅用作简单的验证方法,并且收到以下错误消息:
No authorization token provided.
现在我的问题:
有没有办法执行一个函数,该函数接收在 Connexion 验证正文之前执行的整个请求?
【问题讨论】:
标签: python request http-headers openapi connexion