Django Token-API 的 Web 服务请求认证
我想为一个iOS应用程序用django实现一个网络服务。
我需要某种认证方式,查了一下,听说django的token-api不错。
不过我有个不明白的地方,就是怎么确保一个认证过的用户不能为其他用户执行操作。
举个例子,如果我有一个视图加了@token-required装饰器,这只是保证发送了一个有效的token,但有人可以在请求中直接改动用户的ID,然后就能为其他用户做修改。
我该怎么确保持有token的用户只能为自己执行操作呢?
我想为一个iOS应用程序用django实现一个网络服务。
我需要某种认证方式,查了一下,听说django的token-api不错。
不过我有个不明白的地方,就是怎么确保一个认证过的用户不能为其他用户执行操作。
举个例子,如果我有一个视图加了@token-required装饰器,这只是保证发送了一个有效的token,但有人可以在请求中直接改动用户的ID,然后就能为其他用户做修改。
我该怎么确保持有token的用户只能为自己执行操作呢?