那些遇到过的问题

Django Rest Framework - 阻止访问 API?

5 authentication api django rest django-rest-framework

我正在使用 Django Rest Framework 和令牌身份验证。到目前为止一切都很好。

http://www.django-rest-framework.org/api-guide/authentication#tokenauthentication

但我意识到任何人都可以创建一个与我的 API 挂钩的第三方应用程序。我无法检测或阻止它。

我错过了什么吗?我按照指示进行操作,并且:

  • 发送“username=blah&password=blah”到https://example.com/api/auth/,并收到一个 Token 作为回报。任何人都可以通过第三方应用程序执行此操作。
  • 该令牌在身份验证标头中传递以从 API 检索数据。如果拥有用户令牌,任何人都可以做到这一点。

即使用户知道自己的Token,我也只希望他们能够通过官方原生应用程序访问API。

1. 如何保护我的 API(使用令牌身份验证)并确保只有我的应用程序可以连接到它?

2. 我可以在标头中包含某种密钥吗?我在生产中使用 HTTPS,标头以及表单数据(用户名/密码)是否可拦截/可读?(由运行应用程序的人)。

还在学习中,谢谢。

Den*_*ehl 1

也许我不完全理解你的问题,但是:

是的,如果您添加到您的 urlconfig(您不必这样做) ,那么在您的应用程序中拥有用户名和密码的每个人都可以创建令牌。obtain_auth_token

所以你可以:

  • 只提供您的应用程序用户名和密码
  • 或停用obtain_auth_token视图并在管理员中或手动创建令牌。

回答您的 HTTPS 问题:HTTPS 加密位于客户端和服务器之间,位于TCP 和 HTTP之间。因此,中间的每个人(中间的人)都看不到任何标头、数据,甚至路径。使用SNI时,主机名(Host标头)可见,但没有其他内容。

希望这有所帮助。

归档时间:

查看次数:

1989 次

最近记录:

3 年,10 月 前
Django CORS CSRF_TRUSTED_ORIGINS 不起作用 5
更多相关链接
相关归档
如何使用VBA下载文件(没有Internet Explorer) 34
powershell http发布REST API基本身份验证 20
Django使用另一个表中的数据更新表 20
No module named django.core when creating project in virtualenv 11
iframe中网址的基本身份验证 6
使用Rails自动登录? 4
如何安全地使用REST并使用敏感数据? 3
WADL应用程序? 3
RESTAsured获得两个可能的状态代码之一 2
Api 铁路:没有路线匹配 0
难疑归档
"yield"关键字有什么作用? 9664
可以在JSON中使用注释吗? 7104
如何判断Bash中是否存在常规文件? 3069
如何将Git托管项目中的所有本地更改还原到以前的状态? 1830
使div填充剩余屏幕空间的高度 1743
无法打开与身份验证代理的连接 1473
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
感叹号在功能之前做了什么? 1190
如何在Bash中将字符串转换为小写? 1158
.gitignore for Visual Studio项目和解决方案 1115