22

我希望保护使用 Flask 制作的 Web API 并与之集成flask-admin以提供管理界面。我搜索并发现 flask-admin 有一个管理面板,/admin默认情况下任何人都可以访问它。它不提供身份验证系统并且完全开放(没有任何安全性),因为他们没有假设将使用什么来提供安全性。这个 API 必须在生产中使用,所以我们不能/admin为每个点击 url 的人提供开放的路线。需要适当的身份验证。

views.py我不能简单地放置/admin路由并通过装饰器提供身份验证,因为这将覆盖已经创建的现有路由flask-admin,从而导致错误。

进一步的研究表明,有两个模块flask-adminflask-security. 我知道flask-adminis_accessible保护它的方法,但它没有提供flask-security.

我还没有找到任何方法来保护端点/admin以及所有其他/admin/admin/<something>.

我正在寻找专门用烧瓶安全性来完成这项任务。如果不可能,请提出替代方案。

PS:我知道我可以锁定ngnix自己,但那将是最后的选择。如果我可以通过它拥有一个身份验证系统flask-security会很好。

4

4 回答 4

14

由于这是“flask-security 安全管理员”谷歌搜索的第一个结果,而且还没有开箱即用的解决方案,我想我可以贡献一下。

在 flask-admin 项目问题列表中提出了一个类似的问题,这里提供了一个使用 flask-login 和 mogodb 的简单示例。

我使用 SQLAchemy 为 sqlite 数据库和烧瓶安全做了一个示例。请参阅下面的示例烧瓶应用程序:

 #!/usr/bin/env python
# -*- coding: utf-8 -*-

import os
import os.path as op
from flask import Flask, render_template, url_for, request
from flask_sqlalchemy import SQLAlchemy
from sqlalchemy.event import listens_for
from flask.ext.security import current_user, login_required, RoleMixin, Security, SQLAlchemyUserDatastore, UserMixin
from flask_admin import Admin, AdminIndexView
from flask_admin.contrib import sqla

# Create application
app = Flask(__name__)

# Create dummy secrety key so we can use sessions
app.config['SECRET_KEY'] = '123456790'

# Create in-memory database
app.config['DATABASE_FILE'] = 'sample_db.sqlite'
app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///' + app.config['DATABASE_FILE']
app.config['SQLALCHEMY_ECHO'] = True
db = SQLAlchemy(app)

# Create directory for file fields to use
file_path = op.join(op.dirname(__file__), 'static/files')

# flask-security models

roles_users = db.Table('roles_users',
        db.Column('user_id', db.Integer(), db.ForeignKey('user.id')),
        db.Column('role_id', db.Integer(), db.ForeignKey('role.id')))

class Role(db.Model, RoleMixin):
    id = db.Column(db.Integer(), primary_key=True)
    name = db.Column(db.String(80), unique=True)
    description = db.Column(db.String(255))

class User(db.Model, UserMixin):
    id = db.Column(db.Integer, primary_key=True)
    email = db.Column(db.String(255), unique=True)
    password = db.Column(db.String(255))
    active = db.Column(db.Boolean())
    confirmed_at = db.Column(db.DateTime())
    roles = db.relationship('Role', secondary=roles_users,
                            backref=db.backref('users', lazy='dynamic'))

# Create Security
user_datastore = SQLAlchemyUserDatastore(db, User, Role)
security = Security(app, user_datastore)

# Only needed on first execution to create first user
#@app.before_first_request
#def create_user():
#    db.create_all()
#    user_datastore.create_user(email='yourmail@mail.com', password='pass')
#    db.session.commit()

class AnyModel(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    name = db.Column(db.Unicode(64))

    def __unicode__(self):
        return self.name

class MyAdminIndexView(AdminIndexView):
    def is_accessible(self):
        return current_user.is_authenticated() # This does the trick rendering the view only if the user is authenticated

# Create admin. In this block you pass your custom admin index view to your admin area 
admin = Admin(app, 'Admin Area', template_mode='bootstrap3', index_view=MyAdminIndexView())


# Add views
admin.add_view(sqla.ModelView(AnyModel, db.session)) 

# To acess the logout just type the route /logout on browser. That redirects you to the index
@login_required
@app.route('/login')
def login():
    return redirect('/admin')

@app.route('/')
def index():
    return render_template('index.html')


if __name__ == '__main__':

    # Build sample db on the fly, if one does not exist yet.
    db.create_all() 
    app.run(debug=True)

请参阅 flask-security 文档以了解如何自定义登录页面

希望这可以帮助。

于 2015-10-07T12:24:29.710 回答
11

您应该查看Flask-Security-Admin项目,我认为它非常清楚地涵盖了您正在寻找的内容。

直接取自上面的链接:

  • 当您第一次访问应用程序的主页时,系统会提示您登录,这要归功于 Flask-Security。
  • 如果您使用 username=someone@example.com 和 password=password 登录,您将拥有“最终用户”角色。
  • 如果您使用 username=admin@example.com 和 password=password 登录,您将拥有“admin”角色。
  • 任何一个角色都被允许访问主页。
  • 任何一个角色都可以访问 /admin 页面。但是,除非您具有“管理员”角色,否则您不会在此页面上看到用于管理用户和角色的选项卡。
  • 仅允许管理员角色访问 /admin 页面的子页面,例如 /admin/userview。否则,您将收到“禁止”响应。
  • 请注意,在编辑用户时,由于 Flask-Admin,角色的名称会自动填充。
  • 您可以添加和编辑用户和角色。生成的用户将能够登录(除非您设置 active=false),并且如果他们具有“admin”角色,则将能够执行管理。

相关代码位于 main.py 中,并明确注释以解释如何复制使用 flask-security 保护 flask-admin 面板的过程。

与您相关的最基本的部分如下(第 152 行):

# Prevent administration of Users unless the currently logged-in user has the "admin" role
def is_accessible(self):
    return current_user.has_role('admin')

我希望这是有帮助的。

于 2015-06-29T11:57:18.333 回答
3

我对所有子视图使用@RamiMac 的答案,但对于索引一(默认情况下),我使用此方法,使用查看所需的角色/admin重新包装该方法。admin

@app.before_first_request
def restrict_admin_url():
    endpoint = 'admin.index'
    url = url_for(endpoint)
    admin_index = app.view_functions.pop(endpoint)

    @app.route(url, endpoint=endpoint)
    @roles_required('admin')
    def secure_admin_index():
        return admin_index()

在我的项目中,这直接发生在我的所有Flask-Admin代码之后,它本身就在它自己的启动脚本中,custom_flaskadmin.py.

于 2017-12-13T01:09:48.880 回答
1

Flask-Admin 文档中有关于安全性的部分:http: //flask-admin.readthedocs.io/en/latest/introduction/#authorization-permissions

于 2015-06-28T00:56:50.820 回答