Ich möchte eine Login-API erstellen (oder verwenden Sie eine vorhandene, wenn es bereits vorgebündelt ist) mit Django Rest Framework. Ich bin jedoch völlig ratlos. Jedes Mal, wenn ich einen Post-Anforderung an den django Rest Rahmen senden "login" url, sendet sie zurück, nur die durchsuchbaren api Vorlagenseite ...Wie erstelle ich eine Login-API mit Django Rest Framework?
meine Konfiguration
urls.py
url(r'^api/v1/', include('rest_framework.urls', namespace='rest_framework'))
settings.py
REST_FRAMEWORK = {
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.BasicAuthentication',
'rest_framework.authentication.SessionAuthentication',
)
}
, was ich will
Anfrage:
POST /api/v1/login username='name' pass='pass'
Antwort:
200 OK "{username: 'name', 'userId': '54321'}" set-cookie: sessionid="blahblah"
ich ausrollen gerade bin der Planung auf die api mit https und basic auth. Aber hat der Browser eine sichere Möglichkeit, die Authentifizierungsdaten zu speichern? Ich möchte nicht, dass sich die Benutzer ständig neu anmelden müssen, wenn sie die Website durchsuchen und dann zu meiner Website zurückkehren. Ich möchte die Sitzungsauthentifizierung aufgrund von csrf-Tokens abschaffen ... Sie sind brutal in einer API zu verwalten. Ich möchte meinen Kuchen haben und es essen, um ... – JayPrime2012
Angenommen, der Browser bietet einen permanenten Speicher nach Domänen sortiert, auf den nur die Besitzerdomäne zugreifen kann, ich denke, ich könnte nur Sitzungs-ID im persistenten Speicher und nicht im Cookie speichern verhindern CSRF-Schwachstellen in meiner API-basierten Website. – JayPrime2012
Haben Sie herausgefunden, wie es geht? – jul