python - 当某些方法需要身份验证而另一些方法不需要身份验证时，在 Flask 中构建 RESTful API

Question

我正在 Flask 中创建一个新的 RESTful API，它应该接受给定对象的 GET(用于请求资源)和 PATCH(用于执行各种增量、非幂等更新)。问题是，有些修补的数据必须经过身份验证，有些则不需要。

为了用一个例子来阐明这一点，假设我正在构建一个应用程序，让每个人都可以查询资源被点击的次数以及其页面被查看的次数。它还允许人们在 javascript 中对资源进行更新，表示资源被再次单击(未经身份验证，因为它来自前端)。它还让经过身份验证的后端增加页面被查看的次数。

因此，遵循 RESTful 原则，我认为所有三个操作都应该在同一条路径上完成 - 类似于 /pages/some_page_name它应该接受 GET 和 PATCH，并且应该接受带有 PATCH 的两种不同类型的数据。问题是，在 Flask 中，身份验证似乎总是通过方法周围的装饰器完成，所以如果我有像 @app.route('/pages/<page_id>', methods=['GET', 'PATCH']) 这样的方法，我的身份验证将使用类似 @auth.login_required 的装饰器来完成对于整个方法，这甚至会强制对不需要身份验证的方法进行身份验证。

所以，我的问题有三个:

1. 我在同一路径下构建所有提到的三个操作是否正确/这很重要吗？
2. 如果我是对的，而且这一点很重要，那么我如何只需要针对一种类型的 PATCH 进行身份验证？
3. 如果这并不重要，那么构建此 API 的更好或更简单的方法是什么？

Answer 1

我发现您的设计有几个问题。

let's say I'm building an app that let's everyone query how many times a resource has been clicked on and how many times its page has been viewed

嗯。这实际上并不是一个好的 REST 设计。您不能让客户端查询选择资源的“属性”，只能查询资源本身。如果您的资源是“页面”，则对 /pages/some_page_name 的 GET 请求应返回如下内容(JSON 格式):

{
    'url': 'http://example.com/api/pages/some_page_name',
    'clicks': 35,
    'page_views': 102,
    <any other properties of a page resource here>
}

It also let's people do an update on the resource in javascript saying the resource was clicked again

“单击某物”是一个 Action ，因此它不是一个好的 REST 模型。我对你的项目了解不够，所以我可能是错的，但我认为最好的解决方案是让用户单击该东西，然后服务器将收到某种请求(可能是获取资源的 GET被点击了？)。然后，服务器就可以自行增加资源的 clicks 属性。

(unauthenticated, since it's coming from the front-end).

这可能很危险。如果您允许任何人更改您的资源，那么您就容易受到攻击，这可能是一个问题。没有什么可以阻止我查看您的 Javascript 并对您的 API 进行逆向工程，然后发送虚假请求来人为地更改计数器。这可能是一个可以接受的风险，但请确保您了解这种情况可能会发生。

It additionally let's an authenticated backend increment the number of times the page has been viewed.

后端？这是客户端还是服务器？听起来应该是客户。再次强调，“增量”并不适合 REST 类型的 API。让服务器根据从客户端收到的请求来管理计数器。

假设我明白你在说什么，在我看来你只需要支持GET。服务器可以在收到请求时自行更新这些计数器，客户端无需为此操心。

更新:在下面的评论中提供了一些附加信息后，我认为您可以做的 RESTful 是还实现 PUT 请求(或 PATCH(如果您想要部分资源更新)。

如果您执行PUT，那么客户端将发送与上面相同的 JSON 表示形式，但它会增加相应的计数器。您可以在服务器中添加验证，以确保计数器按顺序递增，如果发现计数器不是按顺序递增，则返回 400 状态代码(对于某些经过身份验证的用户，可能会跳过此验证，具体取决于您)。例如，从上面的示例开始，如果您需要增加点击次数(但不是页面浏览量)，则发送一个 PUT 请求:

{
    'url': 'http://example.com/api/pages/some_page_name',
    'clicks': 36,
    'page_views': 102
}

如果您使用PATCH，那么您可以删除不更改的项目:

{
    'clicks': 36
}

老实说，我觉得这不是解决您问题的最佳设计。这里有非常特定的客户端和服务器，它们被设计为相互协作。对于解耦的客户端和服务器来说，REST 是一个很好的设计，但如果您同时处于这条线的两侧，那么 REST 并不能真正为您提供很多帮助。

现在关于您的身份验证问题，如果您的 PUT/PATCH 需要有选择地进行身份验证，那么您可以仅在必要时发出 HTTP Basic 身份验证交换。我写了Flask-HTTPAuth扩展，你可以看看我是如何实现这个交换的，并将代码复制到你的 View 函数中，这样你就可以只在需要的时候发出它。我希望这能澄清一些事情。