我刚刚学习 django 和 drf。我创建了一个 django 应用程序来对用户进行身份验证,并为其使用了默认的 django 视图。 (我制作了自己的注册视图,因为我需要添加用户图像)。现在我被要求使用 DRF 将 api 添加到同一项目中。我应该在项目使用它时使用会话身份验证还是使用令牌身份验证实现 api?
我完全不知道该做什么。
DRF 使得实现会话和令牌身份验证相对简单,并且由于您可以为不同的视图或端点定义不同的身份验证类,因此由您选择。
最好为Web Views应用Session Authentication,以及Token Authentication,让您的API更适合各种类型的客户端。
安全方面,如果正确实施,两者都是好的,虽然令牌身份验证通常更安全,因为令牌无法篡改,但会话可以在服务器端进行管理,这使其容易受到 CSRF 攻击,但这并不是真正的问题保护,因为 Django 内置了 CSRF 保护。