Python Django作为服务登录和注销
我在Django1.6中有一个RESTAPI,但我没有使用任何像DjangoTastypie或其他库来实现这一点。我只是写我的端点(url.py)并在我的views.py中返回json数据。对于身份验证,我使用提供的django basic auth。因此,在前端发出的每个请求中,我都会检查request.user.id,并通过这项工作了解该用户是否有权访问某个资源,换句话说,我使用的是django在前端调用登录端点时输入的登录会话数据。我这样做会引起安全问题吗?我不这么认为。如果这在网页上使用是安全的,为什么API调用会出现问题Python Django作为服务登录和注销,python,django,rest,login,Python,Django,Rest,Login,我在Django1.6中有一个RESTAPI,但我没有使用任何像DjangoTastypie或其他库来实现这一点。我只是写我的端点(url.py)并在我的views.py中返回json数据。对于身份验证,我使用提供的django basic auth。因此,在前端发出的每个请求中,我都会检查request.user.id,并通过这项工作了解该用户是否有权访问某个资源,换句话说,我使用的是django在前端调用登录端点时输入的登录会话数据。我这样做会引起安全问题吗?我不这么认为。如果这在网页上使用
如果您确实担心有人获得会话ID,请使用SSL加密您的通信。但是对于web资源也应该如此,如果您不希望会话cookie被盗,则应使用https。非常感谢您的回答!我也有同样的观点,但我不是网络安全方面的专家,所以我决定问一下。