我想使用 Django Rest Framework 作为后端来构建 SPA 应用程序。应用程序将使用 Token 身份验证。
为了获得最大的安全性,我想将身份验证令牌存储在 httpOnly cookie 中,因此无法从 javascript 访问它。但是,由于无法从 javascript 访问 cookie,因此我无法设置“授权:令牌 ...”标头。
所以,我的问题是,我可以让 DRF 身份验证系统(或 Django-Rest-Knox/Django-Rest-JWT)从 cookie 中读取身份验证令牌,而不是从“授权”标头中读取吗?或者“授权”标头是在 DRF 中进行身份验证的唯一且正确的方法?
【问题讨论】:
标签: django cookies django-rest-framework django-rest-auth django-rest-framework-jwt
我会覆盖TokenAuthentication 的身份验证方法,假设令牌在auth_token cookie 中:
class TokenAuthSupportCookie(TokenAuthentication):
"""
Extend the TokenAuthentication class to support cookie based authentication
"""
def authenticate(self, request):
# Check if 'auth_token' is in the request cookies.
# Give precedence to 'Authorization' header.
if 'auth_token' in request.COOKIES and \
'HTTP_AUTHORIZATION' not in request.META:
return self.authenticate_credentials(
request.COOKIES.get('auth_token').encode("utf-8")
)
return super().authenticate(request)
然后设置 django-rest-framework 在设置中使用该类:
REST_FRAMEWORK = {
# other settings...
'DEFAULT_AUTHENTICATION_CLASSES': (
'<path>.TokenAuthSupportCookie',
),
}
【讨论】:
.encode("utf-8") 部分,以便在使用 curl 时从命令行使用此方法。