1. 首页
  2. 的问题

如何保护超集'/login/'终点

0

的问题

最近,我综合超集与我的网应用程序,以便在一个用户身份验证通过我的网应用可以输入超集和查/编辑/仪表板创建基于自己的作用只是通过点击的链接,不需要甚至登录。 这样做我不得不绕过登录为此,我提 篇文章。

定义SecurityManager我用来绕过登录

class CustomAuthDBView(AuthDBView):

    @expose('/login/', methods=['GET', 'POST'])
    def login(self):
        redirect_url = self.appbuilder.get_url_for_index
        user_name = request.args.get('username')
        user_role = request.args.get('role')
        if user_name is not None:
            user = self.appbuilder.sm.find_user(username=user_name)
            if not user:
                role = self.appbuilder.sm.find_role(user_role)
                user = self.appbuilder.sm.add_user(user_name, user_name, 'last_name', user_name + "@domain.com", role, password = "password")
            if user:
                login_user(user, remember=False)
                return redirect(redirect_url)

        else:
            print('Unable to auto login', 'warning')
            return super(CustomAuthDBView,self).login()

class CustomSecurityManager(SupersetSecurityManager):
    authdbview = CustomAuthDBView
    def __init__(self, appbuilder):
        super(CustomSecurityManager, self).__init__(appbuilder)

因此,根据上述代码使用url http://localhost:8088/login?username=John 将登录用户的约翰内,或者如果用户约翰不存帐户创造了一些作用,这是基于角色的用户在我的网络应用程序

现在问题是谁能猜到这个网址 http://localhost:8088/login?username=USER_NAME 可创建自己的帐户中超集,那么如何保护或安全这个 '/login' 终结点

apache-superset flask flask-appbuilder rest
2021-11-23 14:07:45
1

最好的答案

0

你可以使用API这样,你不露请求的详细信息的网址。

from flask_appbuilder.api import BaseApi, expose
from . import appbuilder

    class LoginApi(BaseApi):

    resource_name = "login"
    
    @expose('/loginapi/', methods=['GET','POST'])
    #@has_access
    
    def loginapi(self):
        if request.method == 'POST':
            username = request.json['username']
            password = request.json['password']



appbuilder.add_api(LoginApi)
2021-11-24 10:09:07

其他语言

此页面有其他语言版本

Русский
..................................................................................................................
Ссылка
Italiano
..................................................................................................................
Link
Polski
..................................................................................................................
Link
Română
..................................................................................................................
Legătură
한국어
..................................................................................................................
링크
हिन्दी
..................................................................................................................
लिंक
Français
..................................................................................................................
Lien
Türk
..................................................................................................................
Atıf
Česk
..................................................................................................................
Odka
Português
..................................................................................................................
Referênci
ไทย
..................................................................................................................
เชื่อมโยง
Español
..................................................................................................................
Referencia
Slovenský
..................................................................................................................
Odkaz

受欢迎的此类别

流行的问题,在这个类别

我怎么得到我的蟒蛇瓶中的应用程序上的一个Ubuntu ec2连接数据库与RDS?
Plotly注释的文字:编码哈希(#)在URL
如何打印文本相同的输入、动态生成的多次字和瓶
工作以外的应用程序方面的瓶芹菜
蟒蛇的网络服务器创建者UI错误
如何验证自签发的证书为https请求使用"请求"模块在客户和"烧瓶-宁静"的服务器上(TLS1.2)
VS码调试器进口的错误,虽然在调试瓶中的应用程序
什么我应该商店一个非日志型客车?
为什么瓶读另一个文件?
圆形的进口在创建数据库