jef*_*eff 9 python security production-environment flask
我正在构建一个功能,供用户注册、登录、验证和授权自己,特别是使用 Python (Flask) 作为后端。我找到了一些解决方案,例如flask-login和flask-security。
据我了解,flask-login实际上并没有进行任何身份验证,而是将所有 JWT 类型的工作留给我,而是flask-security处理这些场景。
话虽这么说,我有几个问题:
在我看来,它flask-security是建立在flask-login. 因此,使用该库似乎更好(至少对我来说),而不是尝试在重新设计身份验证方面重新发明轮子。最后一次更新是flask-security在 2020 年 4 月 23 日。这让我相信人们仍然在积极寻找改进方法。也就是说,flask-security两者是更好的选择吗?
我也想在生产中使用它。那么这也是一个可行的解决方案吗?
小智 16
Flask-Security 现已弃用,因此我不建议在生产中使用它。它有一个名为Flask Security Too的分支,但似乎并没有得到广泛的关注。
老实说,即使它被维护,它也不是我最喜欢的,因为我认为它试图做太多事情。
另一方面,Flask-Login 是一个可靠的库。它非常“脆弱”,因为它是低级别的并且处理真正烦人的事情(创建会话,使用cookie保存它,传递current_user,将某些路由放在login_required装饰器后面),然后让你设计自己的流动并拉入您想要的库。
例如,如果您想要社交登录或 OAuth 令牌存储,那么Flask-Dance与 Flask-Login 很好地集成并得到积极维护,它会粉碎与 Flask-Security 集成的 Flask-Social。
还有 Flask-User,它获得了很好的评价,但最后一次提交是在 2019 年,这有点可怕。