我正在使用Django和django-rest-framework构建RESTful API .
作为认证机制,我们选择了"令牌认证",并且我已经在Django-REST-Framework的文档之后实现了它,问题是,应用程序是否应该定期更新/更改令牌,如果是,如何?应该是需要续订令牌的移动应用程序还是Web应用程序应该自动执行此操作?
什么是最佳做法?
这里的任何人都有使用Django REST Framework的经验,可以提出技术解决方案吗?
(最后一个问题的优先级较低)
我想使用Django REST框架构建REST API.最初它的客户端将是一个Web应用程序,但可以想象未来的客户端可能包括移动应用程序.
不幸的是,我发现文档中列出的身份验证类列表有点令人困惑.看起来TokenAuthentication会满足我的需求.我宁愿避免OAuth的认知开销,除非有一个令人信服的安全理由去那样做.
这是我想在这个早期阶段做出决定的决定.有人可以提供任何建议吗?
编辑:虽然希望不相关,但我想我会提到我将使用Neo4j作为应用程序的后端,而不是传统的SQL数据库.
我想在每次用户登录时撤销先前令牌.这意味着生成新令牌(或者至少更改现有模型实体的密钥).这听起来很简单,但在DRF文档中,我没有看到任何提及这种情况.文档似乎假设令牌始终保持不变.这只是一个简单的案例,还是我错过了什么?我的问题是:每次用户登录时更改令牌是否有问题?