手动验证 flask-extended-jwt 的访问令牌
Manually validate flask-extended-jwt's access token
我有一个 SPA 应用程序,其中包含一个带有上传文件字段的表单。我有休息 API,其端点通过 flask-extended-jwt JWT 受到保护。为了验证 REST 端点,我使用 @jwt_required。我也想验证上传请求。
因为客户端我无法添加授权持有人header所以我想在提交表单时将访问令牌添加为隐藏字段。
从表单中读取 JWT 访问令牌后,手动验证它的最佳方法是什么?
class Upload(Resource):
def post(self):
#TODO: check for access token
access_token = None
if 'access_token' in request.form and request.form['access_token']:
access_token = request.form['access_token']
else:
message = json.dumps({'message': 'Invalid or missing token', 'success': False})
return Response(response=message, status=401, mimetype='text/plain')
if access_token:
#TODO: validate_token(access_token)
谢谢
这里是 flask-jwt-extended 的作者。这是一个很好的问题。目前在扩展中没有支持的方法来做到这一点,从请求中获取令牌并将其解码是紧密耦合在一起的。这将很难解耦,因为在完整的解码链运行时会发生很多有条件的事情。例如,仅当通过 cookie 发送请求时才检查 CSRF 值,或者为了黑名单功能区分访问令牌和刷新令牌。
可以创建一个通用函数,它的签名看起来像 decode_and_verify_jwt(encoded_token, is_access_token=True, check_csrf=False)。但是,这会使 flask_jwt_extended 中的其余代码复杂化,并且对于一般情况来说是一个相当混乱的函数。
我认为在这种情况下,在扩展中添加第四个查找会更容易,因此您可以使用类似的东西:
app.config['JWT_TOKEN_LOCATION'] = ['headers', 'forms']
app.config['JWT_FORM_KEY'] = 'access_token'
# Use the rest of the application normally
如果您想在 github 页面上制作票证以便我跟踪,我很乐意处理。
我有一个 SPA 应用程序,其中包含一个带有上传文件字段的表单。我有休息 API,其端点通过 flask-extended-jwt JWT 受到保护。为了验证 REST 端点,我使用 @jwt_required。我也想验证上传请求。
因为客户端我无法添加授权持有人header所以我想在提交表单时将访问令牌添加为隐藏字段。
从表单中读取 JWT 访问令牌后,手动验证它的最佳方法是什么?
class Upload(Resource):
def post(self):
#TODO: check for access token
access_token = None
if 'access_token' in request.form and request.form['access_token']:
access_token = request.form['access_token']
else:
message = json.dumps({'message': 'Invalid or missing token', 'success': False})
return Response(response=message, status=401, mimetype='text/plain')
if access_token:
#TODO: validate_token(access_token)
谢谢
这里是 flask-jwt-extended 的作者。这是一个很好的问题。目前在扩展中没有支持的方法来做到这一点,从请求中获取令牌并将其解码是紧密耦合在一起的。这将很难解耦,因为在完整的解码链运行时会发生很多有条件的事情。例如,仅当通过 cookie 发送请求时才检查 CSRF 值,或者为了黑名单功能区分访问令牌和刷新令牌。
可以创建一个通用函数,它的签名看起来像 decode_and_verify_jwt(encoded_token, is_access_token=True, check_csrf=False)。但是,这会使 flask_jwt_extended 中的其余代码复杂化,并且对于一般情况来说是一个相当混乱的函数。
我认为在这种情况下,在扩展中添加第四个查找会更容易,因此您可以使用类似的东西:
app.config['JWT_TOKEN_LOCATION'] = ['headers', 'forms']
app.config['JWT_FORM_KEY'] = 'access_token'
# Use the rest of the application normally
如果您想在 github 页面上制作票证以便我跟踪,我很乐意处理。