个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我正在 Flask 中创建一个新的 RESTful API,它应该接受给定对象的 GET(用于请求资源)和 PATCH(用于执行各种增量、非幂等更新)。问题是,有些修补的数据必须经过身份验证,有些则不需要。
为了用一个例子来阐明这一点,假设我正在构建一个应用程序,让每个人都可以查询资源被点击的次数以及其页面被查看的次数。它还允许人们在 javascript 中对资源进行更新,表示资源被再次单击(未经身份验证,因为它来自前端)。它还让经过身份验证的后端增加页面被查看的次数。
因此,遵循 RESTful 原则,我认为所有三个操作都应该在同一条路径上完成 - 类似于 /pages/some_page_name它应该接受 GET 和 PATCH,并且应该接受带有 PATCH 的两种不同类型的数据。问题是,在 Flask 中,身份验证似乎总是通过方法周围的装饰器完成,所以如果我有像 @app.route('/pages/<page_id>', methods=['GET', 'PATCH']) 这样的方法,我的身份验证将使用类似 @auth.login_required 的装饰器来完成对于整个方法,这甚至会强制对不需要身份验证的方法进行身份验证。
所以,我的问题有三个:
最佳答案
我发现您的设计有几个问题。
let's say I'm building an app that let's everyone query how many times a resource has been clicked on and how many times its page has been viewed
嗯。这实际上并不是一个好的 REST 设计。您不能让客户端查询选择资源的“属性”,只能查询资源本身。如果您的资源是“页面”,则对 /pages/some_page_name 的 GET 请求应返回如下内容(JSON 格式):
{
'url': 'http://example.com/api/pages/some_page_name',
'clicks': 35,
'page_views': 102,
<any other properties of a page resource here>
}
It also let's people do an update on the resource in javascript saying the resource was clicked again
“单击某物”是一个 Action ,因此它不是一个好的 REST 模型。我对你的项目了解不够,所以我可能是错的,但我认为最好的解决方案是让用户单击该东西,然后服务器将收到某种请求(可能是获取资源的 GET被点击了?)。然后,服务器就可以自行增加资源的 clicks 属性。
(unauthenticated, since it's coming from the front-end).
这可能很危险。如果您允许任何人更改您的资源,那么您就容易受到攻击,这可能是一个问题。没有什么可以阻止我查看您的 Javascript 并对您的 API 进行逆向工程,然后发送虚假请求来人为地更改计数器。这可能是一个可以接受的风险,但请确保您了解这种情况可能会发生。
It additionally let's an authenticated backend increment the number of times the page has been viewed.
后端?这是客户端还是服务器?听起来应该是客户。再次强调,“增量”并不适合 REST 类型的 API。让服务器根据从客户端收到的请求来管理计数器。
假设我明白你在说什么,在我看来你只需要支持GET。服务器可以在收到请求时自行更新这些计数器,客户端无需为此操心。
更新:在下面的评论中提供了一些附加信息后,我认为您可以做的 RESTful 是还实现 PUT 请求(或 PATCH(如果您想要部分资源更新)。
如果您执行PUT,那么客户端将发送与上面相同的 JSON 表示形式,但它会增加相应的计数器。您可以在服务器中添加验证,以确保计数器按顺序递增,如果发现计数器不是按顺序递增,则返回 400 状态代码(对于某些经过身份验证的用户,可能会跳过此验证,具体取决于您)。例如,从上面的示例开始,如果您需要增加点击次数(但不是页面浏览量),则发送一个 PUT 请求:
{
'url': 'http://example.com/api/pages/some_page_name',
'clicks': 36,
'page_views': 102
}
如果您使用PATCH,那么您可以删除不更改的项目:
{
'clicks': 36
}
老实说,我觉得这不是解决您问题的最佳设计。这里有非常特定的客户端和服务器,它们被设计为相互协作。对于解耦的客户端和服务器来说,REST 是一个很好的设计,但如果您同时处于这条线的两侧,那么 REST 并不能真正为您提供很多帮助。
现在关于您的身份验证问题,如果您的 PUT/PATCH 需要有选择地进行身份验证,那么您可以仅在必要时发出 HTTP Basic 身份验证交换。我写了Flask-HTTPAuth扩展,你可以看看我是如何实现这个交换的,并将代码复制到你的 View 函数中,这样你就可以只在需要的时候发出它。我希望这能澄清一些事情。
关于python - 当某些方法需要身份验证而另一些方法不需要身份验证时,在 Flask 中构建 RESTful API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27753102/
25
4
0
我正在尝试用 C 语言编写一个使用 gstreamer 的 GTK+ 应用程序。 GTK+ 需要 gtk_main() 来执行。 gstreamer 需要 g_main_loop_run() 来执行。
我已经使用 apt-get 安装了 opencv。我得到了以下版本的opencv2,它工作正常: rover@rover_pi:/usr/lib/arm-linux-gnueabihf $ pytho
我有一个看起来像这样的 View 层次结构(基于其他答案和 Apple 的使用 UIScrollView 的高级 AutoLayout 指南): ScrollView 所需的2 个步骤是: 为 Scr
我尝试安装 udev。 udev 在 ./configure 期间给我一个错误 --exists: command not found configure: error: pkg-config and
我正在使用 SQLite 3。我有一个表,forums,有 150 行,还有一个表,posts,有大约 440 万行。每个帖子都属于一个论坛。 我想从每个论坛中选择最新帖子的时间戳。如果我使用 SEL
使用 go 和以下包: github.com/julienschmidt/httprouter github.com/shwoodard/jsonapi gopkg.in/mgo.v2/bson
The database仅包含 2 个表: 钱包(100 万行) 事务(1500 万行) CockroachDB 19.2.6 在 3 台 Ubuntu 机器上运行 每个 2vCPU 每个 8GB R
我很难理解为什么在下面的代码中直接调用 std::swap() 会导致编译错误,而使用 std::iter_swap 编译却没有任何错误. 来自 iter_swap() versus swap() -
我有一个非常简单的 SELECT *用 WHERE NOT EXISTS 查询条款。 SELECT * FROM "BMAN_TP3"."TT_SPLDR_55E63A28_59358" SELECT
我试图按部分组织我的 .css 文件,我需要从任何文件访问文件组中的任何类。在 Less 中,我可以毫无问题地创建一个包含所有文件导入的主文件,并且每个文件都导入主文件,但在 Sass 中,我收到一个
Microsoft.AspNet.SignalR.Redis 和 StackExchange.Redis.Extensions.Core 在同一个项目中使用。前者需要StackExchange.Red
这个问题在这里已经有了答案: Updating from Rails 4.0 to 4.1 gives sass-rails railties version conflicts (4 个答案) 关
我们有一些使用 Azure DevOps 发布管道部署到的现场服务器。我们已经使用这些发布管道几个月了,没有出现任何问题。今天,我们在下载该项目的工件时开始出现身份验证错误。 部署组中的节点显示在线,
Tip: instead of creating indexes here, run queries in your code – if you're missing any indexes, you
你能解释一下 Elm 下一个声明中的意思吗? (=>) = (,) 我在 Elm architecture tutorial 的例子中找到了它 最佳答案 这是中缀符号。实际上,这定义了一个函数 (=>
我需要一个 .NET 程序集查看器,它可以显示低级详细信息,例如元数据表内容等。 最佳答案 ildasm 是 IL 反汇编程序,具有低级托管元数据 token 信息。安装 Visual Studio
我有两个列表要在 Excel 中进行比较。这是一个很长的列表,我需要一个 excel 函数或 vba 代码来执行此操作。我已经没有想法了,因此转向你: **Old List** A
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想要改善这个问题吗?更新问题,以便将其作为on-topi
我正在学习 xml 和 xml 处理。我无法很好地理解命名空间的存在。 我了解到命名空间帮助我们在 xml 中分离相同命名的元素。我们不能通过具有相同名称的属性来区分元素吗?为什么命名空间很重要或需要
我搜索了 Azure 文档、各种社区论坛和 google,但没有找到关于需要在公司防火墙上打开哪些端口以允许 Azure 所有组件(blob、sql、compute、bus、publish)的简洁声明
我是一名优秀的程序员,十分优秀!