फ्लास्क-सुरक्षा सीएसआरएफ टोकन

Question

मेरे पास एक फ्लास्क ऐप है जो आरईएसटी एपीआई बैकएंड के रूप में कार्य करता है। मैं बैकएंड के लिए टोकन आधारित प्रमाणीकरण को कार्यान्वित करना चाहता हूं लेकिन ऐसा करने के लिए मुझे उपयोगकर्ता टोकन पुनर्प्राप्त करने की आवश्यकता है। फ्लास्क-सुरक्षा दस्तावेज स्पष्ट रूप से कहता है कि टोकन को पुनर्प्राप्त करने के लिए प्रमाणीकरण समापन बिंदु पर जेएसओएन डेटा के रूप में प्रमाणीकरण विवरण के साथ एक HTTP पोस्ट करने की आवश्यकता है। दुर्भाग्य से मुझे समझ में नहीं आता कि इस तरह के अनुरोध करने के लिए आवश्यक सीएसआरएफ टोकन को कैसे पुनर्प्राप्त किया जाए।

यदि मैं एक्सटेंशन के साथ प्रदान किए गए लॉगिन पेज/टेम्पलेट का उपयोग करता हूं तो सीएसआरएफ टोकन क्लाइंट को फॉर्म में छिपे हुए क्षेत्र में पास कर दिया जाता है। सवाल यह है:

मैं लॉगिन पृष्ठ तक पहुंचने और पार्स किए बिना सीएसआरएफ टोकन को कैसे प्राप्त करूं, उदाहरण के लिए $ http विधियों या मोबाइल ऐप का उपयोग करके एंजुलरजेएस ऐप से उदाहरण के लिए?

स्पष्ट रूप से मैं फ्लास्क-सुरक्षा का उपयोग करने से बच सकता हूं और खुद को टुकड़ों को कार्यान्वित कर सकता हूं लेकिन मैं अपेक्षाकृत वेबपैप्स के साथ अनुभवहीन हूं और मुझे लगता है कि मैं इस गलत तरीके से आ रहा हूं।

Answer 1

मैंने परीक्षण नहीं किया है कि यह काम करता है, लेकिन source code का संक्षेप में निरीक्षण करने से ऐसा लगता है कि आपको सामग्री प्रकार के साथ application/json पर लॉगिन यूआरएल के लिए एक जीईटी अनुरोध भेजना होगा। फ्लास्क-सुरक्षा लॉगिन अनुरोध के JSON संस्करण के साथ इस अनुरोध का जवाब देती है और इसमें टोकन भी शामिल है। एक बार आपके पास टोकन हो जाने पर आप POST अनुरोध भेज सकते हैं।

Answer 2

मैं एक ऐसी ही उपयोग के मामले था और कुप्पी के WTF डॉक्स से इस उदाहरण का पालन करके इसे सुलझाने समाप्त हो गया: https://flask-wtf.readthedocs.org/en/latest/csrf.html#ajax

तो CSRF CsrfProtect(app) के माध्यम से एप्लिकेशन की रक्षा के द्वारा, csrf_token() सभी टेम्पलेट में उपलब्ध हो जाता है। तो फिर आप आसानी से इसे एक स्क्रिप्ट टैग माध्यम से उपलब्ध करा सकते हैं:

<script type="text/javascript"> 
    var csrftoken = "{{ csrf_token() }}" 
</script> 

अब कुप्पी के सुरक्षा/लॉगिन endpoint के लिए अपनी पोस्ट आंकड़ों के टोकन जोड़ें।

Answer 3

[एक एक जवाब के रूप लेखन के बाद से मैं टिप्पणी करने के लिए पर्याप्त प्रतिष्ठा नहीं है]

मैं जैकोपो के रूप में ठीक उसी समस्या में पड़ गए हैं, में है कि -) request.json खाली है और इस प्रकार get_auth_token (ट्रिगर नहीं है ।

Btw - Flask Security documentation का कहना है:

टोकन आधारित प्रमाणीकरण प्रमाणीकरण endpoint के खिलाफ JSON डेटा के रूप में प्रमाणीकरण के विवरण के साथ एक HTTP POST प्रदर्शन से उपयोगकर्ता प्रमाणीकरण टोकन पुन: प्राप्त करने से सक्षम है।

तो मैंने कोशिश की पोस्ट, नहीं (खाली request.json की फिर भी एक ही समस्या) मैं/प्रवेश के रूप में json डेटा के साथ कहा जाता है:

{"email": "test@example.com", "password": "test123"} 

और गूगल क्रोम में डाकिया ग्राहक का उपयोग कर एक अनुरोध भेजा ।

फिर भी, request.json खाली है :(

संपादित करें:। मैं अजगर के अनुरोध मॉड्यूल का उपयोग कर आगे बढ़ने के लिए सक्षम था विवरण here

Answer 4

मैं कल रात घंटे के लिए इस समस्या के साथ संघर्ष किया।

मेरे एप्लिकेशन का उदाहरण बनाने के लिए::

app = Flask(__name__) 
app.config.from_object(config_by_name[config_name]) 

# Create database connection object 
app.db = db 
app.db.init_app(app) 

CsrfProtect(app) 

मेरी/लॉगिन HTML में:

<meta name="csrf-token" content="{{ csrf_token() }}"> 

डाकिया से:

यहाँ क्या मेरे लिए काम समाप्त हो गया है

यहां एक विकल्प था जिसकी मैंने कोशिश की, और शायद यह और अधिक सफल होगा? यह मूल रूप से एक ही जवाब है कि कुप्पी के सुरक्षा उदाहरण क्षुधा दे:

Answer 5

ठीक है, वहाँ एक आसान तरीका है। Visit। कॉन्फ़िगरेशन आइटम WTF_CSRF_ENABLED को csrf को अक्षम करने के लिए गलत पर सेट किया जा सकता है। फिर सब कुछ वैसे ही जाता है जैसा आप चाहते हैं।