问题标签 [flask-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
flask - Flask-auth、Principal 和 Flask 安全性
谁能说出这三个扩展之间是否存在根本区别,或者它们都做类似的事情吗?我一直在阅读文档,似乎有很多交叉。我猜有些只是提供更多功能。
我想将用户角色添加到我的应用程序中,以便某些用户具有某些权限。即level1 用户可以创建5 个资源,level2 用户可以创建10 个等等。我一直在考虑滚动我自己的,看起来并不太棘手。我正在考虑按照http://flask.pocoo.org/snippets/98/的思路使用装饰器,这个解决方案会有任何安全问题吗?我已经在使用 Flask-login,所以我会将它与它集成。
python - Flask-Admin & Authentication:“/admin”受保护,但“/admin/anything-else”不受保护
我正在尝试使用 Flask 和 Flask-SuperAdmin 自定义我的管理视图,但是,索引视图和子视图显然没有使用相同的is_accessible方法:
编辑:我设法弄清楚我做错了什么。我需要在每个视图类中定义 is_accessible。这可以通过 mixin 类很好地完成,如固定代码所示:
app/frontend/admin.py(固定和工作代码)
然后使用我们的管理视图设置 Flask 应用程序:
apps/factory.py
所以,正如标题所说,问题出在:
我翻遍了源代码,试图找到另一个“全局所有管理员蓝图”安全功能——也许我是盲人——但我找不到。
python - 在 Flask 中实现社交登录
希望通过 LinkedIn、Google、Facebook 在我们的应用程序中实现社交身份验证。我目前正在使用烧瓶安全来帮助管理我们应用程序中的用户/角色。我正在寻找一些关于 Flask/Flask-Security 和 Social Authentication 最佳实践的指导。
我已经看过 flask-social 插件,但我也想选择本地基于表单的登录。
到目前为止,我正计划为 flask-security 编写一个新的登录视图实现,它可以确定我是否使用社交网站(通过在用户单击“使用 XYZ 登录”时传递查询参数)进行登录。社交身份验证发生后,我计划运行常规的烧瓶安全登录来设置所有适当的会话令牌以及用户和角色,以便 @login_required 装饰器将继续工作。
我并没有真正看到任何用于覆盖flask-security 中的登录视图功能的钩子,所以我计划1)将现有实现复制到我自己的应用程序中,或者2)调用flask_security_views::login。
但是,我想知道是否有一些已经在某个地方实施,或者是一个更好的开始。看来我真的要削减很多现有的代码。
谢谢
python - 仅将 Flask-Social 与 Oauth 提供者一起使用,没有本地注册/登录表单
如果我只想使用 Facebook 登录(例如,用户注册和登录,即没有本地注册/登录表单),是否可以使用 Flask-Social 和 Flask-Security?
我查看了 Flask-Social 示例应用程序和文档,但不知道这是否可行。在示例应用程序中,用户无法使用 Facebook 登录,除非他们之前已注册。在使用示例应用程序注册后,他们可以将他们的 Facebook 帐户与他们的本地帐户相关联。
当我尝试调用 social.facebook.get_connection() 时,我得到了一个,AttributeError 'AnonymousUser' object has no attribute 'id'因为没有current_user,这是注册/登录后由烧瓶安全定义的。
python - flask security auth_token_required - 令牌认证
我已经成功实现了令牌身份验证并用它保护了我的 rest web 服务方法——这是一个很好的方法。
现在我无法从令牌(如 ID)访问用户数据,以便在访问(受保护的)休息服务方法中对其进行操作。
任何想法 ?
angularjs - Flask-Security CSRF 令牌
我有一个用作 REST API 后端的烧瓶应用程序。我想为后端实现基于令牌的身份验证,但为了做到这一点,我需要检索用户令牌。Flask-Security 文档明确指出,要检索令牌,需要执行 HTTP POST,其中将身份验证详细信息作为 JSON 数据发送到身份验证端点。不幸的是,我不明白如何检索执行此类请求所需的 CSRF 令牌。
如果我使用随扩展提供的登录页面/模板,CSRF 令牌将在表单的隐藏字段中传递给客户端。问题是:
如何在不访问和解析登录页面的情况下检索 CSRF 令牌,例如从使用 $http 方法的 angularJS 应用程序或移动应用程序?
显然我可以避免使用 Flask-Security 并自己实现这些部分,但我对 webapps 相对缺乏经验,我觉得我可能以错误的方式处理这个问题。
python - Flask-security 为用户添加角色(MongoEngine)
我构建了一个小 api,应该能够将角色添加到用户:
(role&email是通过 api 发送的)。它找到正确的用户和角色对象,结果给出True但没有任何内容添加到用户的角色列表中,该列表[]没有任何角色。
我的设置类似于/直接基于MongoEngine 示例
它一定很简单,但我似乎找不到它:/
BR卡斯特
python - Flask-Security 抛出操作错误(没有这样的表)
我正在尝试在比 Flask-Sec 文档中给出的示例更有条理的应用程序中使用 Flask-Security。
使用格式:
我在 models.py 中设置了快速入门代码。据我所知,这是一个非常精确的副本。
然而,当一切都说完了,我得到了这个回溯:
authentication - Flask-安全登录和注销
如何使用 Flask-Security 扩展在 Flask 中登录和注销用户?
我刚开始使用flask-security,并浏览了这里的文档http://pythonhosted.org/Flask-Security/api.html,我真的不知道如何显式登录和注销用户,以及在登录之前对用户进行身份验证。
python - Python:烧瓶安全,注册不持久用户
其他一切工作正常,注册工作,我登录但一旦我注销,它说用户不存在。我怀疑它正在等待确认链接电子邮件,但这些是我的设置:
app.config['SECURITY_REGISTERABLE'] = True
当我在烧瓶启动时强制创建用户时,它没有问题。所以我怀疑这是从烧瓶安全设置明智的,我只是无法通过阅读文档来弄清楚。
我已经坚持了好几天了,我越来越担心!