如何在使用Django Rest框架時獲得初始CSRF令牌

Question

我正在使用Django Rest Framework創建API。用戶仍然需要獲得CSRF令牌來進行POST，PUT，PATCH和DELETE調用。用戶最初獲得CSRF令牌的最佳做法是什麼？我正在使用TokenAuthentication。所以我只需要讓API取得用戶名和密碼，然後發回令牌。之後，我不需要CSRF令牌。

我是否必須添加一個步驟，讓他們使用GET方法調用獲取CSRF令牌，該方法將返回令牌？

我正在尋找關於如何最好地解決這個問題的建議。

Answer 1

使用API​​，您即將打開一個門戶，以在沒有任何會話和瀏覽器的情況下處理服務器上的請求。 CSRF令牌只是驗證表單請求以確保它是從您的網站發送的。據我所知，完全可以關閉API的CSRF保護。

您可以使用csrf_exempt裝飾這個。

閱讀本文以瞭解更多關於CSRF and Web API protection。