Django + React 中的用户登录
User login in Django + React
我浏览了很多关于 full-stack Django + React 网络应用程序中用户身份验证的教程(例如 this, this, and this)。所有这些都只是使用 POST 请求将从用户那里收到的用户名和密码发送到后端。在我看来,如果用户让计算机无人看管一分钟,任何人都可以从浏览器的网络工具中的请求 headers 中获取他的密码。这是一个必须处理的有效问题吗?如果是这样,应该如何修改这些示例?将不胜感激正确方法的教程/示例。
It seems to me that, if the user leaves the computer unattended for a minute, anyone can grab his password from the request headers in network tools in the browser
如果用户无人看管计算机,那么您所描述的内容可能是 his/her 最不担心的事情。
身份验证是一个复杂的话题,如果你真的不想使用现有的库来为你处理这个问题,那么你将需要花费相当多的时间来把事情做好(知道即使那样,风险 0 不存在),最基本的事情是永远不要在您的数据库中存储纯文本凭据并使用 https 通过加密连接传输它们。然后您可以开始考虑 JWT,避免本地存储、CSRF 和保护 cookie、刷新令牌等。
然而,对于您所描述的人们泄露其计算机访问权限或与他人共享密码的情况,您无能为力,除非提醒他们永远不要做这样的事情。
附带说明一下,如果用户在向您的网站发出请求时没有打开网络监控工具,之后打开它不会显示之前提交的纯文本凭据(但是有解决方法)
我浏览了很多关于 full-stack Django + React 网络应用程序中用户身份验证的教程(例如 this, this, and this)。所有这些都只是使用 POST 请求将从用户那里收到的用户名和密码发送到后端。在我看来,如果用户让计算机无人看管一分钟,任何人都可以从浏览器的网络工具中的请求 headers 中获取他的密码。这是一个必须处理的有效问题吗?如果是这样,应该如何修改这些示例?将不胜感激正确方法的教程/示例。
It seems to me that, if the user leaves the computer unattended for a minute, anyone can grab his password from the request headers in network tools in the browser
如果用户无人看管计算机,那么您所描述的内容可能是 his/her 最不担心的事情。
身份验证是一个复杂的话题,如果你真的不想使用现有的库来为你处理这个问题,那么你将需要花费相当多的时间来把事情做好(知道即使那样,风险 0 不存在),最基本的事情是永远不要在您的数据库中存储纯文本凭据并使用 https 通过加密连接传输它们。然后您可以开始考虑 JWT,避免本地存储、CSRF 和保护 cookie、刷新令牌等。
然而,对于您所描述的人们泄露其计算机访问权限或与他人共享密码的情况,您无能为力,除非提醒他们永远不要做这样的事情。
附带说明一下,如果用户在向您的网站发出请求时没有打开网络监控工具,之后打开它不会显示之前提交的纯文本凭据(但是有解决方法)