【发布时间】:2020-04-10 21:43:34
【问题描述】:
首先我会说我已遵循如何使用 FastAPI (https://fastapi.tiangolo.com/tutorial/security/oauth2-jwt/) 制作安全 API 的指南。
发生的情况是,您将拥有两个 api,其中一个是 post 和 get
-
POST 是你传递的地方
curl -X POST "http://127.0.0.1:8000/token" -H "accept: application/json" -H "Content-Type: application/x-www-form-urlencoded" -d "grant_type=&username=hello&password=world&scope=&client_id =&client_secret="
GET是需要access_token Bearer才能访问API等的api
http://127.0.0.1:8000/getUser
现在我对运行应用程序的安全性感到很困惑,因为让我感到困惑的是,我需要使用我的用户名和密码向 API 发出 POST 请求,这将返回我 access_token,我相信那个 access_token我稍后访问下一个 API,即http://127.0.0.1:8000/getUser?这是正确的方法还是我超出了范围?
因为让我不安全的是,如果我现在让我说“硬编码”我的用户名和密码到 python 脚本中并且有人设法对脚本/exe/whatever 进行反向工程(甚至可以通过网络查看作为参数发送的内容/数据)- 在这种情况下,他们将能够访问我的令牌。那么这里的建议是什么?
【问题讨论】:
标签: security oauth-2.0 bearer-token