Django 安全和身份验证

Question

我有几个关于令牌和用户名/密码对的问题。

1. 我设置了一个 django rest API，一旦用户注册，它就会使用令牌。但是我不知道如何安全地将令牌退还给用户？目前我使用：

   response_data = UserSerializer(instance=new_user).data
   response_data['token'] = token.key
   return Response(response_data, status=status.HTTP_201_CREATED)
   

但是通过这种方式我可以在浏览器中清楚地看到我的响应正文中的所有详细信息吗？甚至我的密码。我应该如何将它返回给客户？

1. 注册用户时，我这样做：

   序列化 = UserSerializer(data=request.DATA) 如果序列化.is_valid(): 打印（序列化.validated_data） new_user = get_user_model().objects.create(**serialized.validated_data) token = Token.objects.create(user=new_user)

这会正确创建我的用户吗？密码会被散列吗？

谢谢

附：这是整个方法：

@api_view(['POST'])
def register_user(request):
    print (request)
    serialized = UserSerializer(data=request.DATA)
    if serialized.is_valid():
        print(serialized.validated_data)
        new_user = get_user_model().objects.create(**serialized.validated_data)
        token = Token.objects.create(user=new_user)

        response_data = UserSerializer(instance=new_user).data
        response_data['token'] = token.key
        return Response(response_data, status=status.HTTP_201_CREATED)
    else:
        return Response(serialized._errors, status=status.HTTP_400_BAD_REQUEST)

Answer 1

如果这适用于您的用例，我将通过设置 cookie 来处理 #1。 Relevant SO Post: How to set cookie in Django view and then render template.

对于#2，我相信你应该使用create_user 而不是create。 Check the Django docs here. 一种快速检查密码是否正确散列的方法是打开一个 shell，获取一个用户对象，然后查看密码的样子：

>>u = User.objects.get(id=1)
>>u.password
u'pbkdf2_sha256$12000$e30c2ea7a76f83b7c1a975ddc24286b675e714ebbbc72ccd5f0401730231ab57'

您可以轻松判断密码是否经过哈希处理。