【发布时间】:2020-12-12 14:12:45
【问题描述】:
我正在创建一个以 Django + Django Rest 框架为后端的 Flutter 项目。我想为应用添加用户身份验证。
我找到了一些方法来实现这一点,例如会话身份验证或令牌身份验证。根据article,如果我们想为基于移动的应用程序添加用户认证,最好使用令牌认证,因为会话认证不适合手机。
对基于移动的应用程序使用令牌身份验证是否真的最好,而不是会话身份验证?
【问题讨论】:
【发布时间】:2020-12-12 14:12:45
【问题描述】:
是的,令牌最适合移动客户端。
手机和 cookie 不是好朋友 ;)
令牌认证适用于使用同一帐户的多个设备连接,并且更容易存储令牌。 它是无状态的,无需 cookie 即可工作。
【讨论】:
-
hi)) 感谢您的好心 cmets。看,我有两个选择,要么我需要使用 Django Rest 框架的基于 Token 的身份验证,要么使用 JWT。请您帮忙看看哪种方式最好用?
-
你可以同时使用。 JWT 是 RFC 7519 定义的标准,因此它允许与 Web 生态系统更好的互操作性。 JWT 只不过是存储在链中的加密 json 文档。因此,您可以在有效负载中存储其他数据。我建议你看看这里jwt.io如果你只是想要一个识别令牌,请通过 Django 令牌身份验证。如果您想要更多或符合标准,请使用 JWT。
我曾使用 Django 和 Flutter 参与过两个项目。
我认为对于 android 或 ios 项目,最好使用基于令牌的身份验证,因为它们是无状态的,您也可以轻松管理应用程序的用户角色和权限。
从安全的角度来看,它也更好,因为当您的应用使用令牌时,不可能创建 CSRF 请求。
Cookie 不太适合浏览器以外的其他平台。
【讨论】: