我正在使用在django rest框架上实现的REST-api的服务。我的网站有javascript前端(可能是Knockout上的SPA),android和iOS应用程序,都将使用这个API。在这种情况下处理身份验证的最佳方法是什么?
我在JWT-tokens上读了很多(不是我的情况,我必须能够随时为特定用户撤销auth),会话(已经使用django),在localStorage中存储令牌等等。
我应该为所有人提供一种类型(代币?)吗?或者,对于移动应用程序使用基于cookie的会话auth进行Web和令牌是否正常?如果web也附带令牌,那么存储它们的最佳方式是哪里:cookies或localStorage?
答案 0 :(得分:0)
使用许多身份验证方法非常好。
对于Web应用程序,这可以是会话基础身份验证,假设您在同一个域上运行它。对于移动应用程序,您使用令牌。 DRF将检查所有定义的方法here。
因此,请记住启用/禁用正确的。