Django:DRFトークンベースの認証VS JSONWebトークン
私は、ユーザーが主にAndroid、iOSデバイス、およびデスクトップからアプリにアクセスする実際のアプリケーションを構築しています。
私の初歩的な調査から、トークンベースの認証メカニズムは、セッションベースの認証と比較して、クライアントサーバーモデルの方が優れていてエレガントであることがわかりました。
Djangoで、これを行うための2つの一般的な方法を見つけました-
- http://www.Django-rest-framework.org/api-guide/authentication/#tokenauthentication
- http://getblimp.github.io/Django-rest-framework-jwt/
私が理解したところによると、オプション2]は1]の拡張ですが、トークンがJSON(シリアル化)の形式である点が異なります。オプション1]と2]の間に他にどのような違いがあるのか、そしてどちらかを選択することの長所/短所を理解したいと思います。
どちらも、ほとんど違いはありませんが、同様のタスクを実行します。
トークン
DRFの組み込みトークン認証
- すべてのセッションに1つのトークン
- トークンにタイムスタンプはありません
DRF JWTトークン認証
- セッションごとに1つのトークン
- 各トークンの有効期限タイムスタンプ
データベースアクセス
DRFの組み込みトークン認証
- トークンに関連付けられたユーザーをフェッチするためのデータベースアクセス
- ユーザーのステータスを確認する
- ユーザーを認証します
DRF JWTトークン認証
- トークンのデコード(ペイロードの取得)
- トークンのタイムスタンプの確認(有効期限)
- ペイロード内のIDに関連付けられたユーザーをフェッチするためのデータベースアクセス
- ユーザーのステータスを確認する
- ユーザーを認証します
長所
DRFの組み込みトークン認証
- データベース内のトークンを置き換えることで強制ログアウトを許可します(例:パスワードの変更)
DRF JWTトークン認証
- 有効期限のあるトークン
- トークンが有効でない限り、データベースはヒットしません
短所
DRFの組み込みトークン認証
- すべてのリクエストでデータベースがヒット
- すべてのセッションに単一のトークン
DRF JWTトークン認証
- データベースで追跡せずにトークンを呼び出すことはできません
- トークンが発行されると、トークンを持っている人は誰でもリクエストを行うことができます
- 仕様は解釈の余地があり、更新方法に関するコンセンサスはありません