【Python】request库InsecureRequestWarning的原因

今天在测试我自己写的api的时候，发现了之前出现的一个warning的真正原因

1.起因

先来看请求api的代码

def ApiRq(account:str,passwd:str,background=''):
    url = "https://example.com/shop-url"
    params = { 
        # 参数涉及到隐私，省略
    }
  	res = requests.get(url,params=params,verify=False) # 请求api
    return res.json()

运行，会出现这个警告

/home/muxue/.local/lib/python3.10/site-packages/urllib3/connectionpool.py:1045: InsecureRequestWarning: Unverified HTTPS request is being made to host 'val.outpost54.top'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/1.26.x/advanced-usage.html#ssl-warnings

百度了一下，可以用下面的办法来去掉这个警告

import urllib3 # 屏蔽ssl warning
urllib3.disable_warnings(urllib3.connectionpool.InsecureRequestWarning)

但是这样是不安全的，因为我们没有检查网站的证书，也就无法向服务器发送确认后的加密信息

2.出现这个警告的原因

出现这个警告，其实就是因为我们这里设置了不检查ssl证书

res = requests.get(url,params=params,verify=False) # 请求api

如果你网站的证书是没有问题的，那么完全没有必要不检查，应该使用下面的代码

res = requests.get(url,params=params)

之前我的api站点所用证书缺少证书链，所以出现了另外一个报错，从而使用了verify=False才能正常运行代码，现在更新了证书，也就不需要了！

此时直接运行代码，也不会报错了！

[muxue@bt-7274:~/kook/test]$ py3 api_test.py
start test

3.进一步了解

参考 https://blog.csdn.net/memory_qianxiao/article/details/82011282

requests 库其实是基于 urllib 编写的，对 urllib 进行了封装，使得使用时候的体验好了很多。

现在 urllib 已经出到了3版本，功能和性能自然是提升了不少。所以，requests最新版本也是基于最新的 urllib3 进行封装。

在urllib2时代对https的处理非常简单，只需要在请求的时候加上 verify=False 即可，这个参数的意思是忽略https安全证书的验证，也就是不验证证书的可靠性，直接请求。但这其实是不安全的，因为证书可以伪造，不验证的话就不能保证数据的真实性。

在urllib3时代，官方强制验证https的安全证书，如果没有通过是不能通过请求的，虽然添加忽略验证的参数，但是依然会 给出醒目的 Warning

---

简单说来，就是如果是旧的request库，你可以用 verify=False 禁用掉证书验证，也不会出现报错；但是到 urllib3 后，官方要求一定要验证https证书，所以禁用掉证书验证，就会报出警告。

除非你确认你调用的api是正规的，那么禁用掉证书验证是不应该的！

4.检查一下你的站点ssl证书是否ok

这里给大家推荐一个网站：myssl

在这里输入你的域名，可以检测一下你的ssl证书是否正确部署，我的证书链问题就是在这里检测出来的。

只要是A以上，那就是ok的！