Python / Flask - 将 flask_restless 与 flask_httpauth 一起使用

Question

我在这个问题上的目标是保护我的 API。

在我的应用程序中，我使用 Flask 和 flask_restless 的 APIManager 为我的 Person 对象提供 CRUD API。

代码示例：

manager = APIManager(app, flask_sqlalchemy_db=db)
manager.create_api(Person, methods=['GET', 'POST', 'PATCH', 'DELETE'])

并且还使用flask_httpauth 来保护我的其他路线，如下所示：

@app.route('/auth/get-token')
@auth.login_required
def get_auth_token():
    token = g.user.generate_auth_token()
    return jsonify({'token': token.decode('ascii'), 'fullname': g.user.fullname})

我无法弄清楚如何将@auth.login_required 与apimanager 一起使用以使其不响应匿名请求，我在文档中阅读了有关预处理器的一些内容，但也找不到将其与@987654329 一起使用的方法@装饰器。

我们将不胜感激。

Answer 1

不幸的是，Flask-Restless 目前似乎不支持将视图装饰器附加到它管理的路由上。有open issue添加这个功能，也有another issue专门要求支持Flask-HTTPAuth。

还有一个third issue，其中用户展示了在 Flask-Restless 创建其端点后手动注入装饰器的技术。该用户示例中添加 get_cache 装饰器的 sn-p 如下：

manager = flask.ext.restless.APIManager(app, flask_sqlalchemy_db=db)
manager.create_api(Person, methods=['GET', 'POST', 'DELETE'])
manager.create_api(Person2, methods=['GET', 'POST', 'DELETE'])

# hackish view decoration:
for model in [Person, Person2]:
    model_route = '{0}api0.{0}api'.format(model.__name__.lower())
    app.view_functions[model_route] = get_cache(app.view_functions[model_route])

在您的情况下，您可以将 get_cache 替换为 auth.login_required。

更新：正如下面在 cmets 中所讨论的，'{0}api0.{0}api' 中的参数是表名，所以上面的代码只有在表名留给 Flask-SQLAlchemy 生成时才有效。如果模型具有自定义表名，则使用该名称而不是 model.__name__.lower()。

Answer 2

我建议您使用Flask-Security。有一个tutorial 介绍如何使用它来保护您的 API 接口。