我刚刚开始使用Django并想要实现它。但不确定我的方法是否正确。你能验证吗?
要求:我的服务器将通过url端点提供服务。客户端将通过他的凭据进行身份验证(通过单独的通道提供给他的id和密码。因此,没有可用的注册页面)并利用该服务。我将以异步方式完成工作并回复状态。
我的方法。 。将通过单独的渠道向客户提供用户名和密码。 。客户端将执行https连接。 。客户端将使用我的公钥加密密码,并使用id,密码和数据调用我的URL端点。 。我将确认该请求,并在工作完成后将客户端ping回来。
我担心的事情: 。如何阻止窥探者更换数据部分并将请求重新转发给我。 。如何阻止窥探者从原始请求中重用加密密码并发送他们自己的请求。
是否有任何框架可以提供内置的支持? 要么 在我目前的设置中根本不会发生这种情况?
我知道Django提供了一个身份验证模块。但不确定它的能力。
答案 0 :(得分:0)
该框架将帮助您在应用程序级别启用安全性。您可以使用Django来帮助您确保只有经过适当身份验证的用户才能被授予对受限页面的访问权限,并提供一些开箱即用的other security measures。
通常使用Replay attacks来阻止sessions,这是Django详细记录的。
根据您的实施说明,最关注的问题是声明“客户端将通过单独的渠道提供用户名和密码”。