我正在使用金字塔框架编写一个小型Web应用程序。为了进行身份验证,我使用了云基础架构的服务,该服务向我提供了一个javascript网络令牌,可用于验证用户的身份。
我不确定如何将其与金字塔相结合,特别是因为我发现的大多数示例都是基于用户名密码的身份验证框架,或者它们自己生成JWT令牌(我只是由身份提供者使用那些令牌)。
无论如何,在登录视图中,我目前有这样的逻辑:
.....
user = validate_jwt_token_and_return_user(id_token, ** config)
if user:
headers = remember(self.request, user.id)
raise HTTPFound(location=next_url, headers=headers)
现在看来,这样我将用户ID存储为会话cookie(?),并且用户访问了下一个视图,该用户ID是从cookie中获取的?
将jwt_token存储在cookie中,并在下一个请求时使用它来检查用户的登录尝试是否有效,是否更好?
当然,您可以将JWT令牌存储在cookie中。您选择身份验证策略-只需编写一个身份验证策略即可,而不要使用将其存储在会话中的身份验证策略。