瓶頸不安限制RESTfull api訪問

Question

我只希望登錄用戶訪問我的RESTfull API。我一直在尋找，找不到任何來源告訴我如何去做。奇怪，因爲我認爲保護數據非常普遍。我正在使用項目Flask-login和flask-Restless。我通過SQL-alchemy類來獲取我的MySQL數據庫。創建我的問題的REST API，如：

api_manager = APIManager(app, flask_sqlalchemy_db=db) 
api_manager.create_api(Items, methods=['GET', 'POST', 'DELETE', 'PUT']) 

我應該如何限制我的問題的REST API誰是沒有登錄，或者我不能用燒瓶躁動做用戶？如果不是，我應該/能夠更好地使用什麼？

我正在嘗試一些技巧，所以建議在任何方向都歡迎！

在此先感謝

---

經過一些玩弄我已經找到了解決方案。它可能不是最好的，但它沒有太多的代碼：

@app.before_request 
def before_request(): 
    if ('/api/' in str(request.url_rule)) && (not current_user.is_authenticated()): 
     return redirect('/login') 

這是正確的路要走嗎？添加Preprosessors對於每個可能的HTTP請求都有很多代碼。 https://flask-restless.readthedocs.org/en/latest/customizing.html#request-preprocessors-and-postprocessors

Answer 1

看來你通過customizing Flask-Restless實現了你想要的。您可以使用預處理器來攔截您的API請求。

這是一段代碼。請注意，這是一個未經測試的片段。

def auth_func(*args, **kw): 
    if not current_user.is_authenticated(): 
     raise ProcessingException(description='Not authenticated!', code=401) 

api_manager = APIManager(app, flask_sqlalchemy_db=db) 
api_manager.create_api(Items, methods=['GET', 'POST', 'DELETE', 'PUT'], preprocessors=dict(POST=[auth_func])) 

同樣，你可以預處理註冊到APIManager，使其能夠對所有API的。

api_manager = APIManager(app, flask_sqlalchemy_db=db, preprocessors=dict(POST=[auth_func])) 
api_manager.create_api(Items, methods=['GET', 'POST', 'DELETE', 'PUT'])