我在Django 1.6中有一个rest API,但我没有使用任何像django-tastypie这样的库来做这件事。我只是编写我的端点(urls.py)并在views.py中返回json数据。对于身份验证,我使用的是django basic auth。因此,在前端发出的每个请求中,我都会检查request.user.id并通过该工作来了解该用户是否可以访问某个资源,换句话说我正在使用django在前端调用登录时放入的登录会话数据端点。这样做会引发安全问题吗?
答案 0 :(得分:0)
我不这么认为。如果这对于在网页上使用是安全的,为什么它会成为API调用的问题?
如果您真的担心有人获取会话ID,请使用SSL加密您的通信。但是对于网络资源来说也应该是相同的,如果你不希望会话cookie被盗,你应该使用https。