Django Rest 框架中的基于会话的与令牌身份验证

Posted 2023-02-25

【中文标题】Django Rest 框架中的基于会话的与令牌身份验证

【英文标题】：SessionBased vs Token Authentication in Django Rest Framework

【发布时间】：2021-05-10 23:02:03

【问题描述】：

DRF 文档 (https://www.django-rest-framework.org/api-guide/authentication/#authentication) 指出

令牌身份验证适用于客户端-服务器设置，例如 本机桌面和移动客户端。

和

会话身份验证适用于与您的网站在同一会话上下文中运行的 AJAX 客户端。

然而，大多数关于 Django Rest Framework 身份验证的教程和 *** 问题/答案都建议在大多数情况下使用令牌身份验证，即使是 web 应用程序也是如此。

我正在使用 Django/Django Rest Framework 作为后端，Angular 作为前端来实现一个 webapp。 我应该使用哪种身份验证方案？ 各有什么优缺点？

【参考方案1】：

基于会话的身份验证

在基于会话的身份验证中，服务器将在用户登录后为用户创建一个会话。会话 ID 然后存储在用户浏览器的 cookie 中。当用户保持登录状态时，cookie 将与每个后续请求一起发送。然后服务器可以将cookie中存储的会话ID与内存中存储的会话信息进行比较，以验证用户的身份并发送具有相应状态的响应！

基于令牌的身份验证

许多 Web 应用程序使用 JSON Web Token (JWT) 而不是会话进行身份验证。在基于令牌的应用程序中，服务器使用秘密创建 JWT 并将 JWT 发送到客户端。客户端存储 JWT（通常在本地存储中）并在每个请求的标头中包含 JWT。然后，服务器将使用来自客户端的每个请求验证 JWT 并发送响应。

这里最大的区别是用户的状态不存储在服务器上，因为状态存储在客户端的令牌中。出于可扩展性和移动设备身份验证等原因，大多数现代 Web 应用程序都使用 JWT 进行身份验证。