【发布时间】:2018-10-09 22:01:09
【问题描述】:
我刚刚看了this video,了解为什么 JWT 很烂。我现在不确定应该使用什么进行身份验证。
对于上下文:我编写的 API 主要用于移动应用程序(iOS 和 Android)。将来它也将通过 React Frontend 访问。
过去我只是使用 DRF 的内置令牌身份验证。然后手机会将此令牌存储在相应应用的存储中。
最近有人告诉我,这不安全,我应该使用 JWT。在研究 JWT 时,我发现了上面的视频,它详细说明了为什么 JWT 很烂,基本会话身份验证更好。但据我所知,当用作 API 时,我不能将会话身份验证与 DRF 一起使用,可以吗?
所以我的问题是?您建议使用哪些 DRF 工具进行身份验证,以确保安全?
如果有人回答这个问题,请提前感谢您!
编辑:有人私下建议使用 O-Auth 而不是 DRF 的令牌或 JWT。这样会更好吗?
【问题讨论】:
-
尝试在 drf 中使用 Oauth2 进行 API 认证。
-
我也是这么听说的。唯一不好的是,它增加了完成的请求。
标签: authentication django-rest-framework jwt django-authentication mobile-application