gpt4 book ai didi

移动应用程序的 Django 和 CSRF 保护

转载 作者:行者123 更新时间:2023-12-05 05:25:05 26 4
gpt4 key购买 nike

我正在使用 Django + Django REST Framework + Django OAuth 工具包。

我知道来自 Web session 的 AJAX 调用需要 CSRF 保护,但据我所知,移动应用程序不会像 CSRF 检查所保护的那样在专用应用程序中发生。如果一个人有 OAuth token ,他们就不会使用我们的网络应用程序,所以在这种情况下我似乎不需要执行 CSRF 检查。

当请求包含 OAuth token 时,是否有任何方法可以禁用 REST Framework 端点上的 CSRF 检查,如果是这样,这样做是否安全?还是所有请求都应该受到 CSRF 机制的保护?

最佳答案

您可能应该使用 DRF's token authentication使用移动应用程序。最初,用户使用用户名和密码登录到您的后端,然后后端为移动应用程序的该实例颁发一个 token ,该实例 [安全地] 将 token 存储在本地。通过 token 身份验证和在每次请求时将您的凭据(通过 SSL/HTTPS)发送到服务器的现实,您无需进行 CSRF 检查,因此不会进行 CSRF 检查。

关于移动应用程序的 Django 和 CSRF 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32487551/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com