-
-
Notifications
You must be signed in to change notification settings - Fork 144
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Forçar API para só estar disponível para usuárias autenticadas #427
Comments
@turicas acha que podemos usar o captcha do Google para isso? |
Para a autenticação, na minha opinião a estratégia de TokenAuthentication do DRF nos atende. De acordo @turicas? Com ele as pessoas precisarão:
Como você acha que podemos documentar essa questão? |
Me parece que, inicialmente, o blogpost pode ser um bom lugar para falar sobre a autenticação na API. Acho que com isso vem o benefício da pessoa se deperar com o post e ter a chance de pensar "opa, se posso baixar o CSV nem preciso de API então! menos trabalho..." |
Sim, já temos o recaptcha na página de contato, podemos utilizá-lo no cadastro também.
Sim.
Acho mais fácil que o usuário gerencie os tokens pela interface Web e não usemos email/senha na API (somente token). Nesse sentido, seria importante termos alguma política para que o usuário possa deletar/invalidar tokens, além da possibilidade de criar novos (poderia existir uma página de gestão de tokens linkada no menu "Sua conta" -- essa página já poderia explicar rapidamente como funciona a autenticação na API); acho que faz sentido o rate limit ser por usuário, mas talvez possamos deixar um usuário criar mais de um token. É importante que todas as requisições na API sejam autenticadas (e não somente a da listagem dos dados) e que o usuário consiga acessar a interface do DRF caso esteja logado no navegador e acesse algum endpoint da API.
Inicialmente na página de listagem dos tokens.
Eu posso criar algo baseado nesse comentário. |
Esse comentário é para documentar respostas bem completas do @turicas a um dos muitos emails que ele recebeu com questionamentos sobre requisições sendo bloqueadas. Esses textos serão utéis como norte para parte da documentação API e/ou blogpost: Email 1
Email 2
Email 3
Snippet Python import csv
import io
from urllib.request import Request, urlopen
from gzip import GzipFile
def brasilio_csv(dataset, table):
url = f"https://data.brasil.io/dataset/{dataset}/{table}.csv.gz"
request = Request(url, headers={"User-Agent": "python/urllib"})
response = urlopen(request)
fobj = io.TextIOWrapper(GzipFile(fileobj=response), encoding="utf-8")
for row in csv.DictReader(fobj):
yield row
for row in brasilio_csv("covid19", "caso"):
if row["date"] != "2020-09-15":
continue
print(row) Email 4
|
Essa issue tem como objetivo limitar o uso abusivo da API do Brasil.io e também permitir que possamos entrar em contato com pessoas que estejam realizando requisições abusivas via nossa API. Para isso precisamos:
The text was updated successfully, but these errors were encountered: