Как обезопасить post/get реквесты на фласке?

Question

[Ася]

Я добавила во фласк сессии и секретный ключ. Но я хочу убедиться, что все пост/гет реквесты защищены и незалогинившиеся юзеры не смогут получить доступ к данным. Нужно ли как-то шифровать передаваемые через пост/гет реквест данные? Что нужно сделать, чтобы эти данные не попали к незалогиненным юзерам? Со стороны js я делаю d3.json c параметрами чтобы получать данные и

fetch('/my_link, {
            method: 'POST',
            body: JSON.stringify(data),
            headers: {
              'Content-Type': 'application/json'
            }

чтобы отправлять.

Comments

[Kentavr16]

Слышал что в случае если сервер на https, об этом можно не беспокоиться

[Ася]

Kentavr16, ну вот у меня сервер как раз на https, но хочу убедиться что у меня все максимально защищено

[Denis]

Ася, https достаточно

Answer 1

[Сергей П]

Шифровать ничего не надо, просто правильно реализовать авторизацию. Этому учат в учебниках, мануалах к фреймворкам, документации к библиотекам.
Авторизация и аутентификация - это базовые принципы и технологии, вам не будут здесь индивидуально разъяснять такие элементарные вещи. Читайте профильные материалы в официальной документации.

Ну или задавайте конкретные вопросы что у вас не получается.

Comments

[Ася]

авторизация и аутентификация у меня есть. вопрос именно в том как обезопасить эти реквесты так чтобы информацию их них точно нельзя было перехватить

[Lynn «Кофеман»]

Ася, от кого вы пытаетесь защититься?
Для любых практических нужно достаточно https.
Те кому его недостаточно знают об этом.

[Ася]

Lynn «Кофеман», от любых хакеров я хочу защититься
и от ботов которые скрейпят сайт

[Сергей П]

Ася,

авторизация и аутентификация у меня есть

Если есть и сделана правильно, то больше ничего делать не надо. Просто хендлеры под проверку авторизации декораторами поставить и все.

Но сайты скрейпят не только неавторизованные боты. Вопрос ценности вашего контента.
У примеру, если у вас курсы платные какие-то, то можно один раз взять кого-то купившего курсы и из под его акка всё срисовать.

Если есть возможность легально посмотреть данные, то им может воспользоваться и пират для последующего их распространения. А вы пытаетесь искать уверенность "под фонарём".

[Ася]

Сергей П, понятно спасибо