Перейти на PRO

Какие существуют методы аутентификации и авторизации в веб-приложениях на Python

Тип вопроса: Безопасность Вероятность: 10% Категория: Python Разработчик

Ответ

Аутентификация (кто ты?) и авторизация (что тебе можно?) — ключевые концепции безопасности. В Python-приложениях применяются следующие подходы:

  1. Basic-аутентификация

    • Как работает: Логин и пароль кодируются в Base64 и передаются в заголовке Authorization.
    • Почему: Простота реализации. Подходит для внутренних или некритичных API.
    • Недостаток: Небезопасно без HTTPS, так как данные легко декодируются. 
      
import requests
from requests.auth import HTTPBasicAuth

    response = requests.get('https://api.example.com', auth=HTTPBasicAuth('user', 'pass'))

  2. Token-based (JWT)

    • Как работает: После успешного входа сервер выдает клиенту подписанный токен (JWT), который клиент прикрепляет к каждому последующему запросу в заголовке Authorization: Bearer <token>.
    • Почему: Stateless-подход (серверу не нужно хранить сессию), хорошо масштабируется и подходит для микросервисов и SPA. 
      
import requests

    token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...' headers = {'Authorization': f'Bearer {token}'} response = requests.get('https://api.example.com', headers=headers)

  3. Session-based

    • Как работает: Сервер создает сессию после входа, сохраняет ее ID у себя (в памяти, Redis, БД) и отправляет его клиенту в виде cookie. Клиент автоматически отправляет cookie с каждым запросом.
    • Почему: Традиционный, stateful-подход. Удобен для монолитных веб-приложений (например, с использованием Flask-Login или Django Sessions).

  4. OAuth 2.0

    • Как работает: Протокол делегированной авторизации. Позволяет пользователю дать приложению ограниченный доступ к своим данным на другом сервисе (например, "Войти через Google"), не раскрывая пароль.
    • Почему: Стандарт для авторизации через сторонние сервисы.

  5. API Keys

    • Как работает: Статический ключ-строка, который передается в заголовке или параметре запроса для идентификации приложения (не пользователя).
    • Почему: Используется для доступа к публичным или B2B API, где нужно отслеживать использование и применять квоты.

Ключевые принципы безопасности:

  • Всегда использовать HTTPS для шифрования трафика.
  • Хранить пароли в виде хэшей (например, bcrypt).
  • Валидировать и проверять срок жизни токенов.

Ответ 18+ 🔞

Да ты посмотри, какая ёбаная кухня разворачивается, когда речь про безопасность заходит! Аутентификация и авторизация — это как два охранника на входе в клуб. Первый спрашивает: «Ты кто, блядь?» (аутентификация), а второй: «А тебе в VIP или в общий зал?» (авторизация). В Python-приложениях с этим творятся настоящие цирки.

  1. Basic-аутентификация

    • Как работает: Берёшь логин с паролем, кодируешь их в Base64 — и вперёд, в заголовок Authorization тыкать.
    • Почему: Да потому что проще некуда, ёпта! Для своих внутренних API или там, где не жалко — самое то.
    • Недостаток: Да это же просто пиздец, если без HTTPS! Любой, кто перехватит, расшифрует это за секунду. Это как пароль на бумажке к монитору прилепить. 
      import requests
from requests.auth import HTTPBasicAuth
response = requests.get('https://api.example.com', auth=HTTPBasicAuth('user', 'pass'))

  2. Token-based (JWT)

    • Как работает: Залогинился — получи от сервера бумажку с печатью (токен). Дальше просто тычь её в каждый запрос: Authorization: Bearer <token>.
    • Почему: Серверу похуй, он ничего не хранит о сессии — stateless, блядь! Идеально для микросервисов и этих ваших модных SPA. Масштабируется — овердохуища. 
      import requests
token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...'
headers = {'Authorization': f'Bearer {token}'}
response = requests.get('https://api.example.com', headers=headers)

  3. Session-based

    • Как работает: Сервер, после того как ты ввалился, создаёт тебе сессию, её ID прячет у себя (в памяти, в Redis, в БД — где угодно), а тебе скидывает печеньку. Браузер потом её автоматом ко всем запросам цепляет.
    • Почему: Старый добрый stateful-подход. Для монолитных веб-приложений, где всё своё, — самое оно. Flask-Login или Django Sessions этим и живут.

  4. OAuth 2.0

    • Как работает: Это когда ты даёшь какому-то левому приложению доступ к своим данным в другом сервисе, типа «Войти через Гугл», но пароль от Гугла не светишь.
    • Почему: Это ж стандарт, ёптельный театр! Все крупные сервисы так делают. Делегированная авторизация, блядь.

  5. API Keys

    • Как работает: Просто статичный ключ, строка обычная. Суёшь её в заголовок или параметр запроса, чтобы сервис понял — это ты, а не какой-то левый пидорас.
    • Почему: Для публичных API или B2B, где надо считать запросы и лимиты навешивать. Пользователя не идентифицирует, только приложение.

А теперь, блядь, главное, что ты должен запомнить, чтобы не вышло пиздеца:

  • HTTPS — это святое! Без него всё, что выше — как замок из дерьма, в рот меня чих-пых.
  • Пароли храни только в виде хэшей! bcrypt тебе в помощь. Хранить пароли в открытом виде — это уровень «сам от себя охуел».
  • Валидируй всё, что приходит! Проверяй срок жизни токенов, подписи, права доступа. Доверия ебать ноль, подозрение ебать чувствую всегда.
© ХакСобесов, 2026
support@hacksobesov.com