안녕하세요, DRF로 Token authentication쪽 작업중에 질문드립니다 토큰인증

 
이한영

안녕하세요, DRF로 Token authentication쪽 작업중에 질문드립니다
토큰인증을 사용하면서 브라우저(또는 앱)에서 로그인을 유지하고 싶을 경우,

세션에 token값을 저장해놓고 유저정보를 가져오는게 맞을까요,
아니면 아이디/비밀번호를 저장해놓고(앱에서는 이렇게 처리했었습니다) 세션에 아이디/비밀번호가 있을 경우 로그인처리를 해서 토큰과 유저정보를 가져오는게 맞는건가요?
————
박영록 답변 감사합니다
로그인 후 토큰만 클라이언트에 저장하고 쓰는방법이 맞다고 하네요

  • Han Cold Kim

    아무래도 전자가 안전해보입니다.

    Enoch Lee

    세션에 token을 저장하고 세션에 토큰이 있을 경우, request header에 Authentication: Token 형식으로 지정하고 http요청을 보내면 로그인된 요청으로 간주됩니다

    박영록

    세션이라는 말이 서버 세션을 말하는 건 아니겠죠? 토큰을 클라이언트 어딘가에 저장해두고 그 토큰으로 http 요청을 보내는 것이 맞습니다. 앱에서도 패스워드를 로컬에 보관하는 건 좋지 않고 인증한 후에 패스워드는 버리고 토큰만 로컬에 저장해두면 됩니다.

Advertisements