authentication - PyPI 使用令牌使用的这种身份验证模式的名称是什么?
问题描述
如果您使用 PyPI 上传文件,您可以使用用户名和密码进行身份验证,或者您可以仅使用令牌进行身份验证,然后发送字符串__token__
,然后发送带有前缀的令牌:
要使用 API 令牌:
Set your username to __token__ Set your password to the token value, including the pypi- prefix
您可以在他们的页面上查看更多详细信息: https ://pypi.org/help/#apitoken
这看起来很聪明——它不会破坏使用旧式凭据的人的体验,但允许您将一组减少的权限绑定到给定的令牌,这似乎更安全。
这种模式的名称是什么,两种身份验证方式都像这样支持?我的意思是除了“基于令牌的身份验证”这个名称之外,因为这并不能说明这里提供的回退。
除了只需要获得令牌以发送可能的恶意请求的明显缺点之外,这种方法还有哪些其他缺点?
我正在一个项目中使用 RSS,这似乎是提供对旧版 RSS 阅读器的访问的好方法,同时仍然支持 API 的更多用例。
解决方案
PyPI 管理员在这里:我们称之为“妥协”。PyPI 需要与仅支持基本 HTTP 身份验证的现有客户端完全向后兼容,因此这确实是我们唯一可用的选项。
我不确定它有更好的名字。还有其他一些以不同方式使用的示例:
推荐阅读
- google-chrome-extension - 如何在 devtools 网络选项卡中获取内容传输 [大小] 信息?
- flutter - 如何扩展 BorderSide 以制作渐变边框
- google-apps-script - 如何根据条件更新不同选项卡上的单元格值
- python - R 交互()函数的 Python 等效项
- javascript - 如何在 Mapbox-gl-js 中为特定案例创建表达式?
- c# - 将 WCF 服务访问限制为仅使用控制台应用程序托管的 localhost
- react-native - 如何在本机反应中将项目高度设置为等于 FlatList 高度?
- r - 如何为具有不同 x 值的线图添加标记
- javascript - 为什么 JSON.stringify() 对于大型对象来说很慢
- firefox - 将向量数组传递给着色器