在 Web 應(yīng)用中，我們經(jīng)常需要保護(hù)我們的 api，以避免非法訪問(wèn)。比如，只允許登錄成功的用戶發(fā)表評(píng)論等。Flask-HTTPAuth 擴(kuò)展可以很好地對(duì) HTTP 的請(qǐng)求進(jìn)行認(rèn)證，不依賴于 Cookie 和 Session。本文主要介紹兩種認(rèn)證的方式：基于密碼和基于令牌 (token)。

1、安裝

$ pip install Flask-HTTPAuth

2、基于密碼的認(rèn)證

為了簡(jiǎn)化代碼，這里我們就不引入數(shù)據(jù)庫(kù)了。

• 首先，創(chuàng)建擴(kuò)展對(duì)象實(shí)例

from flask import Flask
from flask_httpauth import HTTPBasicAuth
app = Flask(__name__)
auth = HTTPBasicAuth()

這里有一點(diǎn)需要注意的是，我們創(chuàng)建了一個(gè) auth 對(duì)象，但沒(méi)有傳入 app 對(duì)象，這跟其他擴(kuò)展初始化實(shí)例有一點(diǎn)區(qū)別。

• 接著，寫(xiě)一個(gè)驗(yàn)證用戶密碼的回調(diào)函數(shù)

from werkzeug.security import generate_password_hash, check_password_hash
# 模擬數(shù)據(jù)庫(kù)
books = ['The Name of the Rose', 'The Historian', 'Rebecca']
users = [{'username': 'ethan', 'password': generate_password_hash('6666')},{'username': 'peter', 'password': generate_password_hash('4567')}
]
# 回調(diào)函數(shù)
@auth.verify_password
def verify_password(username, password):user = filter(lambda user: user['username'] == username, users)if user and check_password_hash(user[0]['password'], password):g.user = usernamereturn Truereturn False

上面，為了對(duì)密碼進(jìn)行加密以及認(rèn)證，我們使用 werkzeug.security 包提供的 generate_password_hash 和 check_password_hash 方法：generate_password_hash 會(huì)對(duì)給定的字符串，生成其加鹽的哈希值；check_password_hash 驗(yàn)證傳入的明文字符串與哈希值是否一致。

• 然后，我們?cè)谛枰J(rèn)證的視圖函數(shù)上，加上 @auth.login_required 裝飾器，比如

@app.route('/', methods=['POST'])
@auth.login_required
def add_book():_form = request.formtitle = _form["title"]if not title:return '<h1>invalid request</h1>'books.append(title)flash("add book successfully!")return redirect(url_for('index'))

上面完整的代碼如下：

$ cat app.py
# -*- coding: utf-8 -*-
from flask import Flask, url_for, render_template, request, flash, \redirect, make_response, jsonify, g
from werkzeug.security import generate_password_hash, check_password_hash
from flask_httpauth import HTTPBasicAuth
app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret key'
auth = HTTPBasicAuth()
# 模擬數(shù)據(jù)庫(kù)
books = ['The Name of the Rose', 'The Historian', 'Rebecca']
users = [{'username': 'ethan', 'password': generate_password_hash('6666')},{'username': 'peter', 'password': generate_password_hash('4567')}
]
# 回調(diào)函數(shù)
@auth.verify_password
def verify_password(username, password):user = filter(lambda user: user['username'] == username, users)if user and check_password_hash(user[0]['password'], password):g.user = usernamereturn Truereturn False
# 不需認(rèn)證，可直接訪問(wèn)
@app.route('/', methods=['GET'])
def index():return render_template('book.html',books=books)
# 需要認(rèn)證
@app.route('/', methods=['POST'])
@auth.login_required
def add_book():_form = request.formtitle = _form["title"]if not title:return '<h1>invalid request</h1>'books.append(title)flash("add book successfully!")return redirect(url_for('index'))
@auth.error_handler
def unauthorized():return make_response(jsonify({'error': 'Unauthorized access'}), 401)
if __name__ == '__main__':app.run(host='127.0.0.1', port=5206, debug=True)

$ cat templates/layout.html
<!doctype html>
<title>Hello Sample</title>
<div class="page">{% block body %} {% endblock %}
</div>
{% for message in get_flashed_messages() %}{{ message }}
{% endfor %}

$ cat templates/book.html
{% extends "layout.html" %}
{% block body %}
{% if books %}{% for book in books %}<ul><li> {{ book }} </li></ul>{% endfor %}
{% else %}<p> The book doesn't exists! </p>
{% endif %}
<form method="post" action="{{ url_for('add_book') }}"><input id="title" name="title" placeholder="add book" type="text"><button type="submit">Submit</button>
</form>
{% endblock %}

3、基于 token 的認(rèn)證

很多時(shí)候，我們并不直接通過(guò)密碼做認(rèn)證，比如當(dāng)我們把 api 開(kāi)放給第三方的時(shí)候，我們不可能給它們提供密碼，而是對(duì)它們進(jìn)行授權(quán)，還可能會(huì)有時(shí)間限制，比如半年或一年等。這時(shí)候，我們往往通過(guò)一個(gè)令牌，也就是 token 來(lái)做認(rèn)證，Flask-HTTPAuth 提供了 HTTPTokenAuth 對(duì)象來(lái)做這件事。
例如：

from flask import Flask, g
from flask_httpauth import HTTPTokenAuth
app = Flask(__name__)
auth = HTTPTokenAuth(scheme='Token')
tokens = {"secret-token-1": "john","secret-token-2": "susan"
}
# 回調(diào)函數(shù)，驗(yàn)證 token 是否合法
@auth.verify_token
def verify_token(token):if token in tokens:g.current_user = tokens[token]return Truereturn False
# 需要認(rèn)證
@app.route('/')
@auth.login_required
def index():return "Hello, %s!" % g.current_user
if __name__ == '__main__':app.run()

上面，我們?cè)诔跏蓟?HTTPTokenAuth 對(duì)象時(shí)，傳入了 scheme=‘Token’。這個(gè) scheme，是我們?cè)诎l(fā)送請(qǐng)求時(shí)，在 HTTP 頭 Authorization 中要用的 scheme 字段。用 curl 測(cè)試如下：

$ curl -X GET -H "Authorization: Token secret-token-1" http://localhost:5000/

結(jié)果：

Hello, john!

4、使用 itsdangerous 庫(kù)來(lái)管理令牌

上面的令牌還是比較薄弱的，在實(shí)際使用中，我們需要使用加密的簽名（Signature）作為令牌，它能夠根據(jù)用戶信息生成相關(guān)的簽名，并且很難被篡改。itsdangerous 提供了上述功能，在使用之前請(qǐng)使用 pip 安裝: $ pip install itsdangerous。

改進(jìn)后的代碼如下：

# -*- coding: utf-8 -*-
from flask import Flask, g
from flask_httpauth import HTTPTokenAuth
from itsdangerous import TimedJSONWebSignatureSerializer as Serializer
app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret key here'
auth = HTTPTokenAuth(scheme='Token')
# 實(shí)例化一個(gè)簽名序列化對(duì)象 serializer，有效期 10 分鐘
serializer = Serializer(app.config['SECRET_KEY'], expires_in=600)
users = ['john', 'susan']
# 生成 token
for user in users:token = serializer.dumps({'username': user})print('Token for {}: {}\n'.format(user, token))
# 回調(diào)函數(shù)，對(duì) token 進(jìn)行驗(yàn)證
@auth.verify_token
def verify_token(token):g.user = Nonetry:data = serializer.loads(token)except:return Falseif 'username' in data:g.user = data['username']return Truereturn False
# 對(duì)視圖進(jìn)行認(rèn)證
@app.route('/')
@auth.login_required
def index():return "Hello, %s!" % g.user
if __name__ == '__main__':app.run()

將上面代碼保存為 app.py，在終端運(yùn)行，可看到類似如下的輸出：

$ python app.py
Token for John: eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ3NjY5NzE0NCwiaWF0IjoxNDc2Njk1MzQ0fQ.eyJ1c2VybmFtZSI6IkpvaG4ifQ.vQu0z0Pos2Tgt5jBYMY5IYWUkTK9k3wE_RqvYHDqtyM
Token for Susan: eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ3NjY5NzE0NCwiaWF0IjoxNDc2Njk1MzQ0fQ.eyJ1c2VybmFtZSI6IlN1c2FuIn0.rk8JaTRwag0qiF9_KuRodhw6wx2ZWkOEhFln9hzOLP0* Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)

使用 curl 測(cè)試如下：

$ curl -X GET -H "Authorization: Token eyJhbGciOiJIUzI1NiIsImV4cCI6MTQ3NjY5NzE0NCwiaWF0IjoxNDc2Njk1MzQ0fQ.eyJ1c2VybmFtZSI6IkpvaG4ifQ.vQu0z0Pos2Tgt5jBYMY5IYWUkTK9k3wE_RqvYHDqtyM" http://localhost:5000/
# 結(jié)果
$ Hello, john!