我正在使用Django REST的JWT令牌认证
$ curl -X POST -d "username=admin&password=abc123" http://localhost:8000/api-token-auth/
然后
$ curl -H "Authorization: JWT <your_token>" http://localhost:8000/protected-url/
我的观点是,如果有人必须在curl中输入用户名/密码才能获得令牌,然后使用该令牌分两步获取网址。那么为什么不使用基本身份验证的用户名/密码。因为只有一个请求。
令牌会给我们带来什么好处。我们还必须在令牌AUTH中输入用户名/密码
答案 0 :(得分:1)
你是对的,如果这是正常的工作流程,那就没有太大的优势了。期望令牌身份验证具有稍好的性能,因为您不必哈希密码。
但通常令牌存储在客户端。想象一下移动应用程序。在那里您登录一次以获取并存储令牌。现在您可以在没有用户名/密码的情况下进行经过身份验证的API请求。