У меня есть проект django, в котором я показываю несколько конечных точек api (api endpoint = ответы на get/post, возвращает ответ json, исправьте меня, если я ошибаюсь в своем определении). Эти конечные точки используются мной на лицевой стороне, например, подсчитывают количество обновлений или получают обновленный контент или множество других вещей. Я обрабатываю логику представления на стороне сервера, в шаблонах и в некоторых случаях отправляю клиенту визуализированный шаблон строки.Внутренняя аутентификация клиента/сервера API Django или нет?
Так вот вопросы им пытаются ответить:
- мне нужно иметь какой-то аутентификации между клиентами и сервером ли?
- Является ли django крест происхождения защиты достаточно?
- Где на этой фотографии подходят такие пакеты, как django-oauth-toolkit? И django-rest-framework?
- Если я не добавляю никакой аутентификации между клиентами и сервером, могу ли я оставить свой сервер открытым для атак?
Кроме того, что же касается соединения «сервер-сервер»? Оба сервера под моим контролем.
Если вы спрашиваете - должен ли я реализовать аутентификацию oauth/openid/something для защиты моего сервера от запросов GET, тогда я бы сказал нет. Да, сервер будет открыт, но если ни одно из представлений не позволяет вносить какие-либо изменения в какие-либо объекты, и вы следовали рекомендациям по развертыванию django (http://www.djangobook.com/en/2.0/chapter12.html) то все должно быть хорошо. –
@ OdifYltsaeb да, вот что мне интересно, я должен реализовать oauth или такой для клиентов. Как насчет почтовых звонков? достаточно csrf? А как насчет сервера к серверу? – Neara
Ну, я стараюсь защищать каждый из моих взглядов столько, сколько они требуют. Смысл в том, что у меня есть логин, защищенный большинством просмотров, а для API-интерфейсов обычно требуется ключ API. Таким образом, пока у вас есть ключ API - вы можете делать все, что разрешено: P –