如何通过邮递员中的cookie传递会话ID并登录？

Posted 2023-03-08

【中文标题】如何通过邮递员中的cookie传递会话ID并登录？

【英文标题】：How to pass the session id though cookie in postman and get logged in?

【发布时间】：2020-05-10 20:55:31

【问题描述】：

我正在尝试为我的应用程序创建一些 API。

我也有一个正常的网站。

我没有使用任何安全连接。

假设我登录到我的正常网站，然后使用检查工具复制session-id。并使用邮递员将cookie设置为API并发送请求，身份验证中间件是否会根据session-id设置request.user。

【问题讨论】：

这能回答你的问题吗？ Sending cookies with postman

【参考方案1】：

是的，如果您将从正常浏览器登录获取的所有 cookie 复制到 Postman - 后端将检查相同的 cookie（直到邮递员或用户注销并使此 session-id 无效）并根据它设置用户。

但是，正如您所说，you are not using any secure connection。这是非常糟糕的做法。如今https 几乎是任何通信方式的标准，更不用说包含任何身份验证信息了。因此，您绝对应该检查使用 https 访问 django 站点。如果您正在为 django 应用程序制作 API - 请查看 Django Rest Framework。

此外，API 可能会使用某种密码/令牌身份验证。只有浏览器 js 代码（ajax 等）可以使用会话身份验证，来自移动应用程序/终端的 API 调用不应该。