アプリでRest APIを開発する必要がある(Flaskベース)
しかし、どうやってそれを保護すればいいのかよく分かりません。
現在、ブラウザからアクセスするユーザーに対しては、通常の認証を行っています。(セッションの使用など)
しかし、API ユーザーの場合、API リクエストごとにユーザー名とパスワードを尋ねる必要がありますか? それは本当に安全ですか? 多くの Web API が API 呼び出しにトークンを使用していることは知っていますが、それが最善の方法ですか?
この場合、どのように実装すればよいのでしょうか?(これは私の専門分野ではありませんが…)どうもありがとうございます
ベストアンサー1
token based authentication
を保護するにはテクニックを使用する必要がありますAPI
。概念は単純で、ユーザーがサインインしたら、サイトはそれをどこかに保存し、そのトークンをユーザーに送り返します。
API への呼び出しごとに、ユーザーはすべての API リクエストとともにトークンを送信し、エンコードされたトークンを検証して、応答を拒否するか、返送する必要があります。
こちらをご覧ください:https://realpython.com/blog/python/トークンベースの認証-flask/
これもチェックしてください詳しくは、flask-jwt-extended.readthedocs.io/en/latest/ をご覧ください。
パフォーマンスを向上させるには、セッション トークンをNOSQL
などのデータベースに保存できますRedis
。
OAuth
ソーシャル メディア サイトによるログインをサポートするには、クライアントにさらにいくつかのトークンを返すことを除いて同じように動作する を使用する必要があります。