Python web服务请求身份验证django令牌api_Python_Django_Web Services_Access Token

Python web服务请求身份验证django令牌api

python django web-services

Python web服务请求身份验证django令牌api,python,django,web-services,access-token,Python,Django,Web Services,Access Token,我想在django中为iOS应用程序实现一个web服务。我需要某种身份验证，我在谷歌上搜索并听到了关于django令牌api的好消息我唯一不明白的是，我如何确保一个经过身份验证的用户不能为另一个用户执行操作例如，如果我有一个视图包含@tokenrequired，它只承诺已发送有效的令牌，但是有人可以更改请求本身中的PK，并为其他用户进行更改如何确保拥有令牌的用户只能为自己执行操作？在非常广泛的层面上，您需要区分身份验证和授权。你可以阅读作为一个例子，也可以在谷歌上搜索更多信息，但基本区别

我想在django中为iOS应用程序实现一个web服务。我需要某种身份验证，我在谷歌上搜索并听到了关于django令牌api的好消息

我唯一不明白的是，我如何确保一个经过身份验证的用户不能为另一个用户执行操作

例如，如果我有一个视图包含@tokenrequired，它只承诺已发送有效的令牌，但是有人可以更改请求本身中的PK，并为其他用户进行更改

如何确保拥有令牌的用户只能为自己执行操作？

在非常广泛的层面上，您需要区分身份验证和授权。你可以阅读作为一个例子，也可以在谷歌上搜索更多信息，但基本区别在于，身份验证决定了用户是谁，而授权决定了某个用户能够看到或做什么

如上所述，您可以使用

django令牌api

来帮助解决身份验证问题。但一旦确定了这一点，就需要转到授权。这更多的是一个问题，您可以在单个对象、视图等的每个用户（或每个组）的基础上看到

正如Ambroise在评论中指出的，使用API框架可以使这变得更容易。是用于在对用户进行身份验证后设置权限的

django rest framework

文档

您是否使用web服务框架，如Tastypie或Django REST框架？这些功能使身份验证/授权变得轻而易举，并提供了许多您最终可能需要的功能。