Actualmente estoy escribiendo una API de reposo en python con el frasco de microframework. Es una API privada y se trata de datos de usuario. Planeo usar esta API para construir una aplicación web y Android.Buscando asesoramiento para asegurar una API REST privada escrita en python-matraz
Por el momento, uso la función de autorizar automáticamente para proteger los datos privados de los usuarios. Por ejemplo, si desea publicar datos en mi servicio con el bob del usuario, realice una solicitud posterior en myapi/story/create y proporcione las credenciales de bob con el patrón de resumen.
Soy consciente de que esto no es una buena solución porque:
auth -Digest no es segura
-El cliente no se autentica (? ¿Cómo asegurar las solicitudes que no están relacionadas con el usuario actual, por ejemplo crear un nuevo usuario)
He leído muchas cosas sobre oAuth pero la autenticación de 3 patas parece excesiva porque no planeo abrir mi API a un tercero.
El oAuth de 2 patas no se ajusta porque solo proporciona autenticación para los clientes y no para los usuarios.
Otro problema con oAuth es que no he encontrado una guía completa para implementarlo en Python. Encontré la biblioteca python-oauth2, pero no entiendo el ejemplo del servidor y no puedo encontrar documentación adicional. Además, parece que muchos aspectos de OAuth no están cubiertos en este ejemplo.
Así que mis preguntas son:
- ¿Hay esquema alternativo (no OAuth) para autenticar el cliente y el usuario con un nivel razonable de seguridad?
- Si oAuth es la mejor solución:
- Cómo omitir el proceso de autorización (porque los usuarios no tendrán que autorizar a clientes de terceros)?
- ¿Hay documentación detallada para python-oauth2 o para cualquier otra biblioteca de Python?
Cualquier ayuda o consejo será apreciado.
Con respecto a uno de sus problemas, una gran parte de los principales sitios web no deje que se suscribe a través del cliente etc., hacerte registrarte a través de su sitio web. Para aquellos sitios que sí lo permiten, su llamada API es efectivamente lo mismo que su formulario de suscripción, por lo que no importa si es seguro o no. –