2011-08-07 36 views
50

Tengo una aplicación que usará matraz y mongodb; Probablemente lo alojaré en el espacio de rack.Autenticación de usuario de matraz

Necesito entender cómo funciona la autentificación del matraz. No he encontrado mucha información sobre el tema. ¿Hay un tutorial completo sobre cómo rodar su propia solución? De lo contrario, me gustaría escuchar algunas ideas sobre cómo abordarlo para una aplicación de matraz.

Big PS:

Pensé en ello. También necesito abrir una API real. Una parte de esa API se usará para AJAX en la interfaz. ¿Cómo puedo asegurar esa parte de la aplicación?

¿Alguien puede explicar las solicitudes de autenticación de la API?

Respuesta

57

se recomienda usar la extensión flask-login, que hace que la gestión de sesiones de verdad fácil de agregar a su aplicación flask, y proporciona un buen documentation que cubre en detalle todos los aspectos de la extensión.

+0

¿Es eso una extensión comprobada? ¿Lo has usado en producción? ¿Qué tan seguro es? – pocorschi

+1

solo lo he usado en 1 aplicación, y parecía hacer su trabajo bien. Sin embargo, si realmente le preocupa la seguridad, puede querer revisar su código (o el código de la biblioteca que use para esto) usted mismo de todos modos. – MatToufoutu

+1

Es bastante seguro, en mi humilde opinión. Utiliza MD5, puede cambiarlo a SHA2 si le preocupan las colisiones. –

12

No creo que el matraz tenga ninguna autenticación incorporada, solo soporte para sesiones de seguimiento.

Aquí están some snippets para autenticación HTTP básica y autenticación con algunos proveedores externos. O tendrá que volver a rodar su propio uso o un marco que ha este cocido en (como Django)

Aquí está una discussion thread on this topic con un enlace útil

+0

Gracias rupello. Eso es de hecho lo que estoy buscando. Un paso a paso sobre cómo rodar. Mío . Por lo que entiendo, el matraz puede hacer un seguimiento de las sesiones, así que necesito decorar las funciones restringidas en un comprobador de algún tipo. ¿Pero qué pasa con la parte Ajax? Y también ... Un documento me ayudaría a no atornillar cosas haciendo las elecciones equivocadas – pocorschi

3

Flask-Login no hace, técnicamente, autenticación: administra la sesión, dejando los detalles de autenticación (difícil de implementar de forma segura). Algo así como Flask-Security realmente implementa tanto la administración de sesión como la autenticación (también agradables como restauración/restablecimiento de contraseña y similares), a costa de tener que tener soporte explícito para su base de datos.

Cuestiones relacionadas