我刚刚看了this video关于为什么JWT吮吸的原因。我现在不确定我应该用什么进行身份验证。
对于上下文:我编写的API主要用于移动应用程序(iOS和Android)。将来它也可以通过React前端访问。
过去我只使用DRF构建令牌认证。然后,手机会将此令牌存储在相应应用程序的存储中。
现在,我最近被告知,这不安全,我应该使用JWT&#39。在研究JWT时,我发现了上面的视频,其中详细阐述了为什么JWT的吮吸和基本会话认证更好。但据我所知,当我用作API时,我无法使用DRF进行会话认证,可以吗?
所以我的问题是?您建议使用哪些DRF工具进行身份验证,以确保安全?
如果有人回答这个问题,请提前感谢您!
编辑:有人私下建议使用O-Auth而不是DRF的令牌或JWT。会更好吗?
答案 0 :(得分:0)
查看有关OAuth 2的django-oauth-toolkit
答案 1 :(得分:0)
所以这是我对安全堆栈交换问题的重复。那个男人@rdegges自己已经回答了。请享用! https://security.stackexchange.com/questions/184855/django-rest-framework-what-should-i-use-for-authentication-how-should-i-use-it/184950#184950