flask 应该怎么保护后端 api 接口，为接口增加权限机制？

没太明白你的意思。
是想要 login_required 吗？

API 的话不能用 flask-login，因为 API 访问是绕过 session 的（所谓的无状态访问）
所以在访问 API 的时候，应该需要访问时加入一个“人为的 session ”，也就是 token。

自己写装饰器 装饰器里面定义自己需要的功能，对请求进行拦截处理就可以了，flask 的路由其实也是装饰器实现的

@api.route('/api/res')
@admin_required
def test():
# do something

比如这里，自己定义一下 admin_required 就可以了

就 jwt 了吧 简单好用

@sivacohan 比如现在有 2 个部门，要求是生产部只能看到生产数据，采购部只能看到采购数据。但现在用 flask-login，只能限制到生产部的人只可访以问生产数据的展示页面，采购部的人只可以访问采购数据的展示页面。可是由于数据都是通过后台 api 传过来的 json 数据，那么只要生产部的人知道了采购 api 的 url，他就能绕过页面限制，直接得到采购的 json 数据。我的意思就是怎样避免这种情况发生，把 api 保护起来，只对特定用户开放。

@ericls 我看了一下这个 JWT，我想问一下这个东西可以和 flask-login 并存吗。两套东西怎么互通呢？

@mzmxcvbn 知乎上的问题也是你问的吗？我感觉我答案里说清楚了啊。jwt 只是身份验证的标志，通过 flask-login 登录后，生成一个 token 返回给前端，以后就可以通过这个 token 找到对应的用户，用户有没有权限访问 api 就可以通过后端来验证了。

其实关键的地方不在于 jwt 或者别的什么 token，而在于两点：
1.用户要有权限等级的分配，你需要在用户系统里加入权限的概念，不同的用户访问不同等级的 API 接口，这一步其实不需要 jwt，flask-login 也是能实现的
2.对每一次用户的请求，要识别出是哪个用户发起的，基本实现的方式就是写 cookie。

建议使用 jwt 只是因为它很方便，不需要在后端数据库里维护一个 token-user 的表，把权限直接写进 token 里，每次解析出来校验一下就行了。

我觉得楼主需要的是用户角色管理

在 API 上加个权限控制，需要用户登陆之后保存到客户端的的 token 或者 cookie

写成 decorator 更好, 实现函数 is_in_prod_department(user) 可视复杂成都，有下面三个方案供参考：

1. 增加字段 user.department （一对一）
2. 增加表 user_department （多对多）
3. 参考 django 的 user 系统，user, user_group, user_permission, group_permission , permission

def prod_department_only_api():
if not flask_login.current_user.is_authorized:
abort(400)

if not is_in_prod_department(flask_login.current_user):
abort(403)

# logic here

jwt+1

apigateway 啊，保护 api，从我做起，写一个网关系统，有认证机制

https://github.com/responsible/Flask-Restful-Role-Auth
看看这个

楼主需要的是一个通用的 RBAC 系统

https://pythonhosted.org/Flask-Security/

试试这个

不知道 flask 有没有 Django REST framework 这种框架，这个可以满足你的需求。

我是在 header 里面加 token 解决的。。。就是不知道是不是标准做法。。

@yanzixuan 以前用的一个数据公司的 api 就是 header 里面加 token 的

post 的数据里面加个 token 字段，用 token 来分辨登陆的人

赞同 7 楼 jwt 使用很简单，支持各个语言