Django как вход в систему и выход из системы

Question

У меня есть API для отдыха в Django 1.6, но я не использую какую-либо библиотеку, например, django-tastypie или другую. Я просто пишу свои конечные точки (urls.py) и возвращаю данные json в my views.py. Для аутентификации я использую django basic auth. Поэтому в каждом запросе, сделанном интерфейсом, я проверяю request.user.id и с этой работой, чтобы узнать, имеет ли этот пользователь доступ к определенному ресурсу, другими словами, я использую данные сеанса входа, которые django ставит, когда входные вызовы login конечная точка. Имею ли я проблемы с безопасностью?

Answer 1

Я так не считаю. Если это безопасно для использования на веб-страницах, почему это должно быть проблемой для вызовов API?

Если вы действительно обеспокоены тем, что кто-то получает идентификаторы сеансов, используйте SSL для шифрования вашего сообщения. Но для веб-ресурсов тоже должно быть одинаково, вы должны использовать https, если не хотите, чтобы файлы cookie сессии были украдены.