Django作爲服務登錄和註銷

Question

我在Django 1.6中有一個休息API，但我沒有使用像django-tastypie或其他任何庫來做到這一點。我只是寫我的終結點（urls.py）並返回我的views.py中的json數據。對於身份驗證，我使用的是提供的django基本身份驗證。因此，在前端所做的每個請求中，我都會檢查request.user.id並檢查該用戶是否有權訪問特定資源，換句話說，我使用的是django在前端調用登錄時提供的登錄會話數據端點。我是否會因此而招致安全問題？

Answer 1

我不這麼認爲。如果這在網頁上使用是安全的，爲什麼它應該是API調用的問題？

如果您真的擔心有人獲得會話ID，請使用SSL加密您的通信。但是，對於網絡資源，這應該也是一樣的，如果你不希望會話cookie被盜，你應該使用https。