내 응용 프로그램에 대한 일부 API를 만들려고합니다.
일반 웹 사이트도 있습니다.
보안 연결을 사용하고 있지 않습니다.
일반 웹 사이트에 로그인 한 다음 session-id
검사 도구를 사용하여 복사한다고 가정 합니다. 그리고 postman을 사용하여 쿠키를 API에 설정하고 요청을 보내면 인증 미들웨어가session-id
예, 일반 브라우저 로그인에서 얻은 모든 쿠키를 Postman에 복사하면 백엔드가이 동일한 쿠키를 확인하고 (우체부 또는 사용자가 로그 아웃하고이 세션 ID를 무효화 할 때까지) 이에 따라 사용자를 설정합니다.
그러나 언급했듯이 you are not using any secure connection
. 이것은 정말 나쁜 습관입니다. 요즘 https
은 인증 정보가 포함 된 것은 말할 것도없고 모든 통신 방식에서 거의 표준입니다. 따라서 django 사이트에 대해 https를 사용하여 확실히 확인해야합니다. django 앱용 API를 만드는 경우 Django Rest Framework를 확인하세요 .
또한 API는 일종의 암호 / 토큰 인증과 함께 작동 할 수 있습니다. 브라우저 js-code (ajax 등) 만 세션 인증을 사용할 수 있으며 모바일 앱 / 터미널의 API 호출은 사용할 수 없습니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다