Flask 中间件中止 401 导致 500
Flask middleware on abort 401 causing a 500
我的 Flask 应用程序中有一个中间件,用于验证来自请求 header 的 JSON Web 令牌,并正在检查以验证它,下面是我的中间件 class:
class AuthMiddleware(object):
def __init__(self, app):
self.app = app
def __call__(self, environ, start_response):
path = environ.get('PATH_INFO')
if path != '/authenticate' or path != '/token':
token = environ.get('HTTP_X_ACCESS_TOKEN')
verfied_token = verify_token(token)
if verfied_token is False:
abort(401)
elif verfied_token is True:
# payload = get_token_payload(token)
# check_permissions(payload)
pass
return self.app(environ, start_response)
verify_token()
是一个函数,它会 return True 或 False,如果它 returns False,我希望它以错误 401 中止。但是,它中止了错误 500:
127.0.0.1 - - [25/Mar/2015 11:37:25] "POST /role HTTP/1.1" 500 -
Error on request:
Traceback (most recent call last):
File "/ENV/lib/python2.7/site-packages/werkzeug/serving.py", line 180, in run_wsgi
execute(self.server.app)
File "/ENV/lib/python2.7/site-packages/werkzeug/serving.py", line 168, in execute
application_iter = app(environ, start_response)
File "/ENV/lib/python2.7/site-packages/flask/app.py", line 1836, in __call__
return self.wsgi_app(environ, start_response)
File "/middleware.py", line 24, in __call__
return self.app(environ, start_response)
File "/ENV/lib/python2.7/site-packages/werkzeug/exceptions.py", line 605, in __call__
raise self.mapping[code](*args, **kwargs)
BadRequest: 400: Bad Request
在我看来,我应该中止 401,但这里似乎有问题。我该怎么办?
您显示的中间件运行一些其他代码,然后然后 调用包装的 Flask 应用程序。然而,abort
引发 Flask 处理的异常,但不由 WSGI 直接处理。由于您尚未进入 Flask 应用程序,因此它无法处理异常。
一种更简单的方法是在 Flask 应用程序中进行此检查。创建一个 before_request
处理程序,其功能与中间件基本相同,除了您可以使用 flask.request
而不是需要自己解析路径和 headers。
from flask import request, abort
@app.before_request
def check_auth_token():
if request.path in ('/authenticate', '/token'):
return
token = request.headers.get('X-ACCESS-TOKEN')
if not verify_token(token):
abort(401)
check_permissions(get_token_payload(token))
如果您确实想要为此使用 WSGI 中间件,您需要自己创建响应。方便的是,Werkzeug 的异常行为类似于 WSGI 应用程序,因此使用它们很简单。
from werkzeug.exceptions import Unauthorized
# in place of abort(401) in the middleware
return Unauthorized()(environ, start_response)
您还可以通过捕获它引发的异常(同样是 WSGI 应用程序)来使用 abort
。
from werkzeug.exceptions import abort, HTTPException
# werkzeug.exceptions.abort is the same as flask.abort
try:
abort(401)
except HTTPException as e:
return e(environ, start_response)
我的 Flask 应用程序中有一个中间件,用于验证来自请求 header 的 JSON Web 令牌,并正在检查以验证它,下面是我的中间件 class:
class AuthMiddleware(object):
def __init__(self, app):
self.app = app
def __call__(self, environ, start_response):
path = environ.get('PATH_INFO')
if path != '/authenticate' or path != '/token':
token = environ.get('HTTP_X_ACCESS_TOKEN')
verfied_token = verify_token(token)
if verfied_token is False:
abort(401)
elif verfied_token is True:
# payload = get_token_payload(token)
# check_permissions(payload)
pass
return self.app(environ, start_response)
verify_token()
是一个函数,它会 return True 或 False,如果它 returns False,我希望它以错误 401 中止。但是,它中止了错误 500:
127.0.0.1 - - [25/Mar/2015 11:37:25] "POST /role HTTP/1.1" 500 -
Error on request:
Traceback (most recent call last):
File "/ENV/lib/python2.7/site-packages/werkzeug/serving.py", line 180, in run_wsgi
execute(self.server.app)
File "/ENV/lib/python2.7/site-packages/werkzeug/serving.py", line 168, in execute
application_iter = app(environ, start_response)
File "/ENV/lib/python2.7/site-packages/flask/app.py", line 1836, in __call__
return self.wsgi_app(environ, start_response)
File "/middleware.py", line 24, in __call__
return self.app(environ, start_response)
File "/ENV/lib/python2.7/site-packages/werkzeug/exceptions.py", line 605, in __call__
raise self.mapping[code](*args, **kwargs)
BadRequest: 400: Bad Request
在我看来,我应该中止 401,但这里似乎有问题。我该怎么办?
您显示的中间件运行一些其他代码,然后然后 调用包装的 Flask 应用程序。然而,abort
引发 Flask 处理的异常,但不由 WSGI 直接处理。由于您尚未进入 Flask 应用程序,因此它无法处理异常。
一种更简单的方法是在 Flask 应用程序中进行此检查。创建一个 before_request
处理程序,其功能与中间件基本相同,除了您可以使用 flask.request
而不是需要自己解析路径和 headers。
from flask import request, abort
@app.before_request
def check_auth_token():
if request.path in ('/authenticate', '/token'):
return
token = request.headers.get('X-ACCESS-TOKEN')
if not verify_token(token):
abort(401)
check_permissions(get_token_payload(token))
如果您确实想要为此使用 WSGI 中间件,您需要自己创建响应。方便的是,Werkzeug 的异常行为类似于 WSGI 应用程序,因此使用它们很简单。
from werkzeug.exceptions import Unauthorized
# in place of abort(401) in the middleware
return Unauthorized()(environ, start_response)
您还可以通过捕获它引发的异常(同样是 WSGI 应用程序)来使用 abort
。
from werkzeug.exceptions import abort, HTTPException
# werkzeug.exceptions.abort is the same as flask.abort
try:
abort(401)
except HTTPException as e:
return e(environ, start_response)