2

アプリケーションの API 部分に Flask Restless 0.17 と Flask JWT を使用しています。アプリケーションのフロントエンドでは、Flask WTF とその CSRF 保護を使用しています。

これは、WTF がすべてのビューで CSRF トークンを想定しているため、Flask Restless で問題を引き起こしています。API の設計図を除外することで作成したエンドポイントでこれを回避できますが、Flask JWT で作成された /auth URL にこれを適用する方法がわかりません。

API の初期化:

def init_app(app):
    def authenticate(username, password):
        user = User.query.filter_by(username=username).scalar()
        if user and username == user.username and \
                User.check_password(user, password):
            return user
        return None

    def load_user(payload):
        user = User.query.filter_by(id=payload['identity']).scalar()
        return user

    jwt = JWT(app, authenticate, load_user)

    @jwt_required()
    def auth_func(**kw):
        pass

    manager = flask_restless.APIManager(app, flask_sqlalchemy_db=db)

    bp = manager.create_api_blueprint(
        MyModel,
        methods=['GET'],
        url_prefix='/api/v1',
        preprocessors=dict(GET_SINGLE=[auth_func],
                           GET_MANY=[auth_func]),
        results_per_page=10,
    )

    # Here I can exempt this API endpoint.
    # But how do I exempt /auth which is created by Flask JWT?
    csrf_protect.exempt(bp)
    app.register_blueprint(bp)
4

1 に答える 1

0

上記のようにそれを行う方法がわからなかったので、代わりに WTF CSRF 保護をオフにしてから、API エンドポイントにいないときに有効にしました。

設定.py

WTF_CSRF_CHECK_DEFAULT = False

app.py

def register_csrf(app):
    """
    Only enable CSRF protection on URLs that are not API related.
    :param app: The app
    """
    @app.before_request
    def check_csrf():
        if request.endpoint != 'api':
            csrf_protect.protect()
于 2016-06-11T13:10:08.137 に答える