python-3.x - 有什么办法可以提高我的 Flask 网站的安全性吗？

Question

我目前正在构建一个用于生产用途的网站。但是，我确实对此有一些安全担忧。任何意见或建议将不胜感激!

Here is what I did so far:

1. 我的网络应用程序基于 Python Flask。
2. Heroku 是我的主机(支持 https)。
3. AWS RDS 是我的后端数据库。
4. 由于 Heroku 使用动态 IP，因此我必须为 AWS RDS 打开 IP 限制。不过，我已对数据库强制实现了 SSL 连接。
5. 在我的代码中，所有敏感参数都存储为配置变量。我使用 os.environ() 来调用它们
6. 此外，所有 HTTP 请求都必须提供我向客户提供的 token 。

The following code shows what I did for Token authentication. But I believe there's a better way to achieve it.

if request.method == 'POST':
    token = request.headers['Authorization']
    token_key = 'Token token="%s"' %(user_token)
    if token != token_key:
        abort(400)
        print('authentication failed!',request.json)
    else:

再次，如果有人能给我任何建议，或者为我提供有关我用来构建应用程序的方法的简短风险评估，我真的很感激。

Answer 1

安全问题通常与实现的具体细节有关，而不是与您用来部署应用程序的平台有关。 Heroku 很好，但你的应用程序可能不行。

首先，您是否考虑过使用 Heruku 的 Postgres DB？将数据库开放到互联网绝对不是一件好事。

另一件事是您的 token 验证。目前尚不清楚您从哪里获取这些 user_token ，但我敢打赌您将它们“按原样”存储在数据库中，这也并不理想。您可能想考虑存储哈希值，并根据请求比较哈希值。

最后一件事 - 如果您可以通过 SSH 访问您的服务器，最好将您自己的 IP 列入白名单以访问它，并阻止所有其他 IP。

这些只是常见做法，并不能保证您的应用程序的安全性。只有良好的审计才能做到这一点。