reactjs - Django + React中的用户登录
问题描述
我浏览了很多关于全栈 Django + React Web 应用程序中用户身份验证的教程(例如this、this和this )。所有这些都只是使用 POST 请求将从用户收到的用户名和密码发送到后端。在我看来,如果用户离开计算机一分钟无人看管,任何人都可以从浏览器的网络工具中的请求标头中获取他的密码。这是一个必须注意的有效问题吗?如果是这样,应该如何修改这些示例?正确方法的教程/示例将不胜感激。
解决方案
在我看来,如果用户离开计算机一分钟无人看管,任何人都可以从浏览器的网络工具中的请求标头中获取他的密码
如果用户无人看管计算机,那么您所描述的可能是他/她最不担心的事情。
身份验证是一个复杂的主题,如果您真的不想使用现有的库来为您处理这个问题,那么您将需要花费相当长的时间来解决问题(即使这样,风险 0 也不存在),最基本的永远不要在您的数据库上存储纯文本凭据并使用 https 通过加密连接传输它们。然后,您可以开始考虑 JWT,避免本地存储、CSRF 和保护 cookie、刷新令牌等。
但是,对于您所描述的人们放弃访问其计算机或与他人共享密码的情况,您无能为力,除非提醒他们永远不要这样做。
附带说明一下,如果用户在向您的网站发出请求时没有打开网络监控工具,那么之后打开它不会显示之前提交的纯文本凭据(但是有解决方法)
推荐阅读
- c# - 导航视图不会打开不同的表单
- html - 链接在 Firefox 中中断但在 Chrome 中没有
- php - 我的函数无法将数据插入数据库
- react-native - 连接域和应用程序逻辑以在 UI 中呈现实体
- python - opencv - 如何在没有比例的情况下进行模板匹配?
- java - 使用嵌套的 while 循环添加到 ArrayList 时出现 IndexOutOfBoundsException
- java - 类在添加到集合时不保留新的关联对象
- python - 这是实现迭代器的好方法吗?
- c++ - 如何将此数学方程式转换为 C++ 语句?
- git - 可以让我在团队中开展项目的最小 git 命令集是什么