假设我们为单页 Web 应用程序构建 API。 API 将提供注册、登录等路由。它还提供只有经过身份验证的用户才能访问的受保护路由。
与 Web 应用程序一样,我们还希望将受保护的路由作为受限 API 服务提供。经过身份验证的用户可以生成自己的令牌,并通过在请求标头中传递他们的令牌,通过他们自己的客户端/脚本访问我们的路由。为此,我们不能使用会话身份验证或 JWT 身份验证,因为我们需要非刷新、非过期的令牌。
在我们整个 API 中使用基本的、非刷新的、非过期的令牌认证系统是否合适? 这将包括所有与用户相关的注册/登录路线。
我正在使用 Django Rest Framework,在documentation about basic Token Authentication 中说:
令牌身份验证适用于客户端-服务器设置,例如本机桌面和移动客户端。
文档没有说明它不合适,我找不到任何关于 Web 应用程序基本令牌身份验证的资源,每篇关于令牌身份验证的文章都是关于 JWT 的。