0

在我的 Django Rest Framework 应用程序中,使用信号为使用第三方 OpenID 身份验证登录的每个用户生成一个令牌。现在我可以使用这个令牌(通过手动进入数据库并获取令牌)对具有authentication_classes = (TokenAuthentication,).

当(OpenID)登录成功时,有人可以解释我如何安全地向用户提供此令牌。

Django Rest Framework 支持以下内容:

from rest_framework.authtoken import views
urlpatterns += [
    url(r'^api-token-auth/', views.obtain_auth_token)
]

但是,这个obtain_auth_token视图只支持使用用户名和密码的 post 请求,而我的应用程序不是这样。

如果我的工作流程有任何缺陷,请纠正我。

4

1 回答 1

1

您对问题的解释非常合乎逻辑。

正如评论中所指出的,使用 jwt 是一种选择。Json Web Tokens (JWT) 会将信息转换为指定的编码,然后您可以解码令牌值以获取更多请求。

import jwt
encoded = jwt.encode(
    {
        'open_id_token': '<open_id_token_value>'
    },
    '<some_random_secret>',
    algorithm='HS256'
)
print encoded

decoded = jwt.decode(encoded)
print decoded
> {'open_id_token': '<open_id_token_value>'}

此选项直接使用库并安全地转换您可以与用户共享的 OpenID 令牌。

于 2017-10-20T19:04:13.997 回答