シングルページ アプリ用に Flask-Security をセットアップしましたが、多くの人が抱えていた CSRFToken の問題 ( Flask-Security CSRF token ) に遭遇しました。Web アプリから CSRFToken を HTML に配置し、ページをスクレイピングして見つけ、それを使用して Angular からのログイン リクエストを POST のリクエスト ヘッダーとして送信します。
これはうまくいきますが、モバイル アプリから ajax 経由で API にアクセスしている場合、API を保護する手順は何ですか? 最初にモバイル アプリからログインし、auth_token を保存し、それを後続の API 呼び出しで使用する必要があると思います。
ここでの問題.../loginページで取得し、CSRFトークンを取得し、それを使用してサーバーにログイン要求を送信し、最初に認証トークンを取得する必要がありますか?? REST を介してモバイル アプリから CSRF トークンの HTML をスクレイピングするのは、ちょっとしたスケッチのように思えます。
また、簡単に言うと、API を次のように保護する必要があるかどうかはわかりません。
@login_required
/api/v1/foo
また
@auth_token_required
/api/v1/foo