访问另一个帐户的 Django Token 身份验证问题

【问题标题】:Django Token authentication problem accessing another account访问另一个帐户的 Django Token 身份验证问题
【发布时间】:2022-01-11 22:07:07
【问题描述】:

我已经制作了 Account 模型,它现在是 Django 中我的应用程序中的自定义用户模型。 另外,我有 Token 身份验证,但我不知道如何刷新 Token,以及我必须多久为用户更改 Token.. 我也有一个问题,因为使用令牌登录后的用户可以通过更改 url 中的 id 来访问另一个帐户。我怎么解决这个问题。我考虑了将用户的 id 放入 Token 中的解决方案,所以当他访问某个 url 时,我会检查它是否是来自 Token 的 url 中的他的 id。但我不确定这对 Django 来说是不是很好的解决方案,因为我不知道如何在 Token 中添加 id。也许 Django 有一些更聪明的解决方案。我是 Django 的新手,所以...

【问题讨论】:

    标签: django token http-token-authentication


    【解决方案1】:

    您不应将AuthToken 作为网址中的参数发送,正如您已经注意到的那样,有人可以将其更改为其他值,期望输入不属于他们的帐户。

    您应该做的是在bodyPOST 请求中发送令牌,如下所示:

    Authorization: Token "your-token"

    或 GET 请求中的 Header

    headers = {'Authorization': 'Token "your-token"'}

    这真的取决于你想要做什么

    【讨论】:

      猜你喜欢
      • 2012-06-11
      • 2015-06-13
      • 2019-06-19
      • 2011-07-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode