首頁猿問 Flask API 為簡單的...

Flask API 為簡單的 HTML+JS+CSS 網(wǎng)絡(luò)應用程序提供 JSON 文件

JavaScript

動漫人物 2021-12-02 15:44:58

我制作了一個簡單的 web 應用程序，它將在表格中顯示一些數(shù)據(jù)，該表格每周更新一次。這個更新是在后端用一些 python 代碼完成的，在將它放入 SQLite 數(shù)據(jù)庫之前，它會刮取和更改一些數(shù)據(jù)。在做了一些閱讀之后，我了解到要將這些數(shù)據(jù)傳送到我的 web 應用程序，我應該使用 Flask 制作一個 API，它可以獲取該數(shù)據(jù)并將其以 JSON 的形式傳送到我的 webapp 中的 JS，然后可以使用這些數(shù)據(jù)來填充桌子。但是，我應該使用用戶名和密碼保護我的 API。但作為一個從 API 檢索數(shù)據(jù)的 JS 前端，真的沒有意義，因為用戶名和密碼必須硬編碼到 JS 中，然后用戶才能讀取。（我認為）我應該向所有人公開我的 API，或者這不是能夠使用 SQLite 數(shù)據(jù)作為我的 web 應用程序后端的方法嗎？我可以只將 API 保留為 GET。

查看完整描述

3 回答

三國紛爭

TA貢獻1804條經(jīng)驗獲得超7個贊

你是對的，保護你的 API 對你來說毫無意義。僅在某些情況下才需要保護 API。

如果您正在訪問不希望任何人看到的數(shù)據(jù)，也許是通過后端調(diào)用，那么添加某種形式的安全性（通常是請求標頭中的 API 密鑰或授權(quán)令牌）是有意義的。

但是，如果您從前端（即客戶端）調(diào)用后端 API，那么在那里設(shè)置額外的安全性是沒有意義的，因為用戶已經(jīng)可以看到請求并且已經(jīng)可以訪問 API 返回的數(shù)據(jù)- 因此，通過保護它，您將一事無成。

通常，如果用戶正在訪問的頁面包含您不希望每個人都看到的敏感數(shù)據(jù)，您將采取措施來保護您的網(wǎng)站（例如，在您訪問該頁面之前，使用用戶名和密碼登錄來保護它） . 如果您采用這種方法，網(wǎng)站受用戶名和密碼保護，那么您可以更新 API 以確保它不會響應用戶未通過身份驗證的請求（例如通過生成會話令牌或某些獨特的東西）每個登錄的用戶）。

如果您環(huán)顧擁有大量免費數(shù)據(jù)的網(wǎng)站，您會發(fā)現(xiàn)它們都有完全不安全的前端 API 調(diào)用（因為如果數(shù)據(jù)已經(jīng)可以免費訪問則毫無意義）。有些網(wǎng)站采取措施，以盡量確保這是他們自己的網(wǎng)站正在調(diào)用的API，但即使如此，這是一個有點毫無意義的網(wǎng)絡(luò)鏟運機始終能夠從HTML中提取數(shù)據(jù)。

反對回復 2021-12-02

江戶川亂折騰

TA貢獻1851條經(jīng)驗獲得超5個贊

查看此頁面，其中概述了身份驗證標頭。這種更簡單的方法是在 Flask 中對標頭信息進行硬編碼，以使其更加安全。您還可以嘗試從數(shù)據(jù)庫讀取標題信息的更復雜的路線。目前我從 postgres db 中讀取的內(nèi)容如下，因此您可以為 sqlite 稍微修改它。

def valid():

headers = request.headers

auth = headers.get("X-Api-Key")

user = User.query.filter_by(apikey=auth).first_or_404()

print('from search of db ',user,'',auth)

return str(user)

反對回復 2021-12-02

元芳怎么了

TA貢獻1798條經(jīng)驗獲得超7個贊

正如您所提到的，您計劃顯示公共數(shù)據(jù) - 即使沒有身份驗證也可以使用它。否則，我認為可能會花費太多不必要的時間。
由于您只有一個簡單的數(shù)據(jù)庫表，我相信您不需要 API。您可以創(chuàng)建 HTML 模板并使用數(shù)據(jù)呈現(xiàn)它。一些例子可以在這里找到和幾個在這里。

反對回復 2021-12-02