我已经使用django-rest-framework和TokenAuthentication实现了用于登录的端点。我想要的是登录后要验证的用户,并可以在网站上导航。
我知道,对使用身份验证uri进行任何保护的任何get请求都应在标头中包含令牌,以便可以对用户进行身份验证。一切都很好,如果我可以手动执行所有添加令牌的get请求。
但是我不明白的是,例如当用户通过写url手动执行请求时,如何在标头中添加令牌?
假设uri / api / 受保护,并且需要经过身份验证的用户。
用户登录后,我将令牌保存在cookie或localstorage中。
现在,用户在/ api /上执行了http get请求。该令牌未放置在标头中,因此响应为:“未验证”。
问题是,用户成功登录后,如何在后续请求中添加令牌?也许后端可以检查cookie以获取有效令牌,但是没有比这更好,更安全的解决方案了吗?
答案 0 :(得分:0)
我相信从这个问题出发,您想将令牌添加到客户端使用的所有API中,无论是App / Web。因此,两种人都喜欢将该令牌存储在cookie或本地存储中。用户注销api使用者后,还刷新该密钥。