如何使用HttpOnly Cookie Django-React对用户进行身份验证
我试图了解我的Web应用程序的身份验证系统,但是我疯了。现在我真的不知道我在做什么,
无论如何,我正在开发Django-React Web App,并使用JWT令牌进行身份验证。为了安全起见,我决定不将JWT令牌存储在客户端中,这是我开始困惑的地方。所以我发出axios POST请求以从React =>
登录//LOGIN USER
export const login = (username, password) => dispatch => {
//Headers
const config = {
headers: {
"Content-type": "application/json"
}
}
//Request body
const body = JSON.stringify({ username, password })
axios.post("http://localhost:8000/auth/login/", body, config, {withCredentials: true})
.then(res => {
dispatch({
type: LOGIN_SUCCESS,
payload: res.data
})
}).catch(err => {
console.log(err)
dispatch({
type: LOGIN_FAIL
})
})
}
和带有某些Cookie的服务器响应=>
和JSON响应=>
然后,我想使用access_token进行身份验证,但是由于它是HttpOnly,因此我无法从客户端访问令牌。无论如何,通过一些研究,我发现我可以发送csrf-token进行身份验证(对此我可能是错的),因此我向受保护的终结点发出了请求=>
import axios from 'axios'
axios.defaults.xsrfCookieName = "csrftoken"
axios.defaults.xsrfHeaderName = "X-CSRFTOKEN"
//ADD POST
export const addPost = (post) => dispatch => {
const config = {
headers: {
"X-CSRFTOKEN": 'csrftoken'
}
}
axios.post(`http://localhost:8000/api/v1/create/`, post, config, {withCredentials: true})
.then(res => {
dispatch({
type: ADD_POST,
payload: res.data
})
}).catch(err => console.log(err))
}
但是,在此请求之后,我收到了服务器的401 Authentication Credentials not provided响应。除此以外,我真的不做什么。
其他信息,
django settings.py
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES':[
# 'rest_framework.authentication.TokenAuthentication',
'rest_framework_simplejwt.authentication.JWTAuthentication',
# 'dj_rest_auth.jwt_auth.JWTCookieAuthentication',
],
'DEFAULT_PERMISSION_CLASSES': [
'rest_framework.permissions.AllowAny'
]
}
SIMPLE_JWT = {
'ROTATE_REFRESH_TOKENS': True,
}
CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
'http://localhost:8080/#'
)
REST_USE_JWT = True
JWT_AUTH_COOKIE = 'myHttpOnlyCookie'
JWT_AUTH_SECURE = True
JWT_AUTH_SAMESITE = 'Strict'
CSRF_COOKIE_NAME = "csrftoken"
CSRF_COOKIE_HTTPONLY = False
CSRF_COOKIE_SECURE = True
好吧,我需要你们提供的任何建议。
1 个答案:
答案 0 :(得分:0)
希望您已经解决了该问题,但供以后参考以请求127.0.0.1 而不是localhost 为我解决了这个问题。
相关问题
- BackgroundTransferRequest使用ASP.NET WIF身份验证,HttpOnly cookie
- 如何使用Django身份验证对Node应用程序中的用户进行身份验证?
- 如何使用django ejabberd bridge对用户进行身份验证
- 如何使用Telegram API对用户进行身份验证?
- 使用Angular 5和Ionic 3的HTTPOnly Cookie进行身份验证
- 用户将不对Django进行身份验证
- 使用httponly cookie在nextjs中进行登录和身份验证
- 使用HttpOnly cookie进行身份验证后重定向
- 如何使用JWT和HttpOnly cookie验证用户
- 如何使用HttpOnly Cookie Django-React对用户进行身份验证
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?