使用Flask，我如何读取HTTP头?我想检查客户端发送的授权头。

我正在学习Apigility (Apigility文档-> REST服务教程)，并试图通过cURL发送一个具有基本身份验证的POST请求:

$ curl -X POST -i -H "Content-Type: application/hal+json" -H "Authorization: Basic YXBpdXNlcjphcGlwd2Q=" http://apigilityhw.sandbox.loc/status

YXBpdXNlcjphcGlwd2Q=是基于64编码的字符串，具有我的凭据apiuser:apipwd。凭证保存在/data/htpasswd (apiuser:$apr1$3J4cyqEw$WKga3rQMkxvnevMuBaekg/)。

它是这样的:

HTTP/1.1 401 Unauthorized
Server: nginx/1.4.7
Date: Mon, 22 Sep 2014 07:48:47 GMT
Content-Type: application/problem+json
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/5.5.12-1~dotdeb.1
WWW-Authenticate: Basic realm="api"

这里的错误在哪里?如何让它工作?

我试图使一个自定义授权属性在ASP。净的核心。在以前的版本中，可以重写bool AuthorizeCore(HttpContextBase httpContext)。但是这在AuthorizeAttribute中不再存在。

当前制作自定义AuthorizeAttribute的方法是什么?

我想要完成的:我正在头授权中接收会话ID。通过该ID，我将知道特定操作是否有效。

简单来说，有人能解释一下OAuth 2和OAuth 1之间的区别吗?

OAuth 1现在过时了吗?我们应该实现OAuth 2吗?我没有看到很多OAuth 2的实现;大多数人仍在使用OAuth 1，这让我怀疑OAuth 2是否可以使用。是吗?

在web应用程序中有什么不同?我经常看到缩写“auth”。它是代表认证还是授权?或者两者都有?

在设计REST API或服务时，是否有处理安全性（身份验证、授权、身份管理）的最佳实践？

在构建SOAPAPI时，您可以将WS-Security作为指南，并且有许多关于该主题的文献。我发现关于保护REST端点的信息较少。

虽然我理解REST故意没有类似于WS-*的规范，但我希望已经出现了最佳实践或推荐的模式。

如有任何讨论或相关文件的链接，我们将不胜感激。如果重要的话，我们将使用WCF和POX/JSON序列化消息，用于使用.NET Framework v3.5构建的REST API/服务。