今天在测试我自己写的api的时候,发现了之前出现的一个warning的真正原因

1.起因

先来看请求api的代码

def ApiRq(account:str,passwd:str,background=''):
    url = "https://example.com/shop-url"
    params = { 
        # 参数涉及到隐私,省略
    }
  	res = requests.get(url,params=params,verify=False) # 请求api
    return res.json()

运行,会出现这个警告

/home/muxue/.local/lib/python3.10/site-packages/urllib3/connectionpool.py:1045: InsecureRequestWarning: Unverified HTTPS request is being made to host 'val.outpost54.top'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/1.26.x/advanced-usage.html#ssl-warnings

百度了一下,可以用下面的办法来去掉这个警告

import urllib3 # 屏蔽ssl warning
urllib3.disable_warnings(urllib3.connectionpool.InsecureRequestWarning)

但是这样是不安全的,因为我们没有检查网站的证书,也就无法向服务器发送确认后的加密信息

2.出现这个警告的原因

出现这个警告,其实就是因为我们这里设置了不检查ssl证书

res = requests.get(url,params=params,verify=False) # 请求api

如果你网站的证书是没有问题的,那么完全没有必要不检查,应该使用下面的代码

res = requests.get(url,params=params)

之前我的api站点所用证书缺少证书链,所以出现了另外一个报错,从而使用了verify=False才能正常运行代码,现在更新了证书,也就不需要了!

此时直接运行代码,也不会报错了!

[muxue@bt-7274:~/kook/test]$ py3 api_test.py
start test

3.进一步了解

requests 库其实是基于 urllib 编写的,对 urllib 进行了封装,使得使用时候的体验好了很多。

现在 urllib 已经出到了3版本,功能和性能自然是提升了不少。所以,requests最新版本也是基于最新的 urllib3 进行封装。

在urllib2时代对https的处理非常简单,只需要在请求的时候加上 verify=False 即可,这个参数的意思是忽略https安全证书的验证,也就是不验证证书的可靠性,直接请求。但这其实是不安全的,因为证书可以伪造,不验证的话就不能保证数据的真实性。

urllib3时代,官方强制验证https的安全证书,如果没有通过是不能通过请求的,虽然添加忽略验证的参数,但是依然会 给出醒目的 Warning


简单说来,就是如果是旧的request库,你可以用 verify=False 禁用掉证书验证,也不会出现报错;但是到 urllib3 后,官方要求一定要验证https证书,所以禁用掉证书验证,就会报出警告。

除非你确认你调用的api是正规的,那么禁用掉证书验证是不应该的!

4.检查一下你的站点ssl证书是否ok

这里给大家推荐一个网站:myssl

在这里输入你的域名,可以检测一下你的ssl证书是否正确部署,我的证书链问题就是在这里检测出来的。

只要是A以上,那就是ok的!