Django作为服务登录和注销

Question

我在Django 1.6中有一个休息API，但我没有使用像django-tastypie或其他任何库来做到这一点。我只是写我的终结点（urls.py）并返回我的views.py中的json数据。对于身份验证，我使用的是提供的django基本身份验证。因此，在前端所做的每个请求中，我都会检查request.user.id并检查该用户是否有权访问特定资源，换句话说，我使用的是django在前端调用登录时提供的登录会话数据端点。我是否会因此而招致安全问题？

Answer 1

我不这么认为。如果这在网页上使用是安全的，为什么它应该是API调用的问题？

如果您真的担心有人获得会话ID，请使用SSL加密您的通信。但是，对于网络资源，这应该也是一样的，如果你不希望会话cookie被盗，你应该使用https。