4个API安全最佳实践代码

一、认证与授权（使用 Flask 框架和 Flask-HTTPAuth 库实现基本的认证）

python

登录后复制

from flask import Flask, request
from flask_httpauth import HTTPBasicAuth

app = Flask(__name__)
auth = HTTPBasicAuth()

# 存储用户信息的示例字典（实际应用中应使用数据库存储）
users = {
    "user1": "password1",
    "user2": "password2"
}

@auth.verify_password
def verify_password(username, password):
    if username in users and users[username] == password:
        return username

@app.route('/api/secure_data')
@auth.login_required
def get_secure_data():
    # 这里返回一些安全数据示例
    return "This is secure data"

if __name__ == '__main__':
    app.run()

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.
• 11.
• 12.
• 13.
• 14.
• 15.
• 16.
• 17.
• 18.
• 19.
• 20.
• 21.
• 22.
• 23.
• 24.
• 25.

二、数据加密（在 Flask 中使用 Flask-SocketIO 实现 WebSocket 通信并采用 SSL/TLS）

python

登录后复制

from flask import Flask, render_template
from flask_socketio import SocketIO, send

app = Flask(__name__)
app.config['SECRET_KEY'] = 'secret!'

# 使用 SSL/TLS 证书和密钥（这里是示例路径，实际应用中需替换为真实路径）
socketio = SocketIO(app, ssl_context=('path_to_cert.pem', 'path_to_key.pem'))

@socketio.on('message')
def handle_message(message):
    # 加密后的消息传输处理
    send(message, broadcast=True)

@app.route('/')
def index():
    return render_template('index.html')

if __name__ == '__main__':
    socketio.run(app, host='0.0.0.0', port=5000, debug=True)

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.
• 11.
• 12.
• 13.
• 14.
• 15.
• 16.
• 17.
• 18.
• 19.
• 20.

三、输入验证与过滤（使用 Python 的 WTForms 库进行表单数据验证）

python

登录后复制

from flask import Flask, request
from wtforms import Form, StringField, IntegerField
from wtforms.validators import DataRequired, Length, NumberRange

app = Flask(__name__)

class UserInputForm(Form):
    name = StringField('Name', validators=[DataRequired(), Length(min=2, max=50)])
    age = IntegerField('Age', validators=[DataRequired(), NumberRange(min=0, max=120)])

@app.route('/api/submit_data', methods=['POST'])
def submit_data():
    form = UserInputForm(request.form)
    if form.validate():
        # 处理经过验证的正确数据
        name = form.name.data
        age = form.age.data
        return f"Received: Name - {name}, Age - {age}"
    else:
        # 返回错误信息
        errors = form.errors
        return f"Validation errors: {errors}", 400

if __name__ == '__main__':
    app.run()

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.
• 11.
• 12.
• 13.
• 14.
• 15.
• 16.
• 17.
• 18.
• 19.
• 20.
• 21.
• 22.
• 23.
• 24.
• 25.

四、监控与审计（简单的日志记录示例）

python

登录后复制

import logging
from flask import Flask, request

app = Flask(__name__)

logging.basicConfig(filename='api_access.log', level=logging.INFO)

@app.route('/api/any_endpoint')
def any_api_endpoint():
    # 记录请求信息
    logging.info(f"Request from {request.remote_addr}: {request.url} with method {request.method}")
    # 实际业务逻辑
    return "API response"

if __name__ == '__main__':
    app.run()

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.
• 11.
• 12.
• 13.
• 14.
• 15.
• 16.

这些代码示例只是基本的演示，实际应用中需要根据具体的 API 架构、技术栈和安全需求进行更复杂和全面的实现。同时，还需要结合其他安全措施和工具来确保 API 的安全性。

原创作者: u_16940963 转载于: https://blog.51cto.com/u_16940963/11802614