Использование Flask-Security как части REST API

При использовании REST API предпочтительным методом является аутентификация на основе токенов с чем-то вроде JSON Web Token (JWT). Эта схема имеет другой ландшафт безопасности, поскольку вы не создаете HTML на стороне сервера и не используете файлы cookie. Я не эксперт по безопасности, но из того, что я прочитал, это означает, что вы не подвержены подделке межсайтовых запросов (CSRF). Вот почему отключение токенов CSRF в Flask-Security — это нормально.

Попробуйте использовать схему аутентификации на основе токенов PyJWT. Чтобы получить токен, вы отправляете учетные данные в конечную точку входа и получаете токен в ответ. Затем вам нужно будет отправлять токен с каждым запросом через заголовки HTTP. Вы часто можете установить это глобально на стороне JS.

Вот несколько ссылок:

• http://jwt.io/
• https://pythonhosted.org/Flask-JWT/ (см. примечание ниже)
• Сочетание Flask-restless, Flask-security и обычных запросов Python
• https://github.com/jpadilla/pyjwt/
• https://github.com/mpdavis/python-jose/
• https://auth0.com/docs/server-apis/python
• https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
• https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tokens-and-cookies/

примечание: кажется, что Flask-JWT использует библиотеку python itsdangerous, которая некоторое время не обновлялась. Здесь есть обсуждение: https://github.com/mattupstate/flask-jwt/issues/10 Опять же, я не эксперт по безопасности, и кажется, что обе библиотеки по умолчанию обрабатывают кодирование/декодирование с помощью одного и того же алгоритма. PyJWT и Python-Jose перечислены на jwt.io и имеют расширенную функциональность.

Ладно, разобрался. Все, что ему нужно, это установить переменную конфигурации Flask для приложения:

WTF_CSRF_ENABLED = False