我对 Django 的 REST 框架比较陌生。我正在创建一个简单的应用程序来登录用户,并尝试使用令牌身份验证。我担心的是为每个用户创建令牌并且它们是固定的(不要随时间变化)并且基本上 1 个用户有 1 个令牌映射到他/她。
万一发生数据库泄露或令牌被泄露,黑客只需登录我发送的授权标头不是很容易吗?
我对 django 默认会话身份验证有一些经验,与 REST Framework 的 htoken 身份验证相比,这似乎更安全。 REST Frameworks 实现似乎有点缺陷,还是我遗漏了什么?
我应该在生产应用程序中使用哪个?
(注意:- 我特别要求 Rest Framework 的默认令牌身份验证实现,而不是通用令牌身份验证。)