我想创建一个登录表单供用户登录django网站。该网站是使用django rest框架设置的,我正在考虑让登录表单通过网站api提出请求。
过去我刚刚使用标准的django表单进行用户登录。我担心如果新登录表单通过网站的API发送请求,则可能存在某种安全漏洞。但是,我不知道这是否属实,或者安全问题实际上是什么。
我应该坚持使用django表单来验证用户身份吗?或者通过api签署用户是否安全?
答案 0 :(得分:1)
请记住,使用Django表单只允许您在DRF下使用SessionAuthentication - 这里有更多说明。缺少的是在创建登录页面时使用Django LoginViews,以及如果使用会话身份验证与DRF一起使用CSRF令牌的注释。 http://www.django-rest-framework.org/api-guide/authentication/#sessionauthentication
该网站的其他部分是如何设置的?它是恰好使用DRF的单页应用程序吗?