使用 Django 和 React 保护 Web 应用程序

Question

我正在尝试使用这两种技术来制作一个安全的网络应用程序[目前正在学习 React (60%) 和 Django (<50%)。这就像一个医疗数据库，以便医生和护士输入患者的信息。显然他们需要登录。我想实现基于 React 的 UI（而不是使用经典方法从 django 创建视图），所以我发现了很多像这样的教程：

https://www.digitalocean.com/community/tutorials/build-a-to-do-application-using-django-and-react

它基本上将 Django 变成了一个 RestAPI，然后是 React前端使用 axios 从端点检索数据。听起来一点也不差（与 Django 在网页中渲染数据的本机方法相比），但问题是我不知道如何确保安全，你知道，Django 提供了一个auth系统，不得不说，相当不错，也很安全，但是在这样结构的项目中，auth需要在React中完成，所以出现了很多问题：

• 首先，这是一个好主意吗做一个这个项目结构？（如果不是，那么什么可能是一个好的结构）
• 如果是，如何保护 API，以便只有登录的用户才能与其交互？（什么机制可以确保保护）

Answer 1

是的，这绝对是一个将客户端应用程序和后端服务器应用程序分开的好主意。

• 您基本上可以使用任何前端框架/应用程序/脚本通过其余 api 访问后端。
• 客户可以利用您的后端服务的功能来扩展自己的应用程序。
• 您可以通过其余 api（多品牌、转售）创建使用相同后端或同一后端的不同部分的多个不同前端。或者您可以每隔一年将前端框架更换为新框架。
• 使用其余 api 也可以更轻松地创建不同的自动化。

这样的例子还在继续。

对于 django rest api auth 我会推荐 令牌身份验证 其中已经包含在 Django REST Framework 中并且对于 React 使用 此实现登录的教程和令牌处理。

并且不要忘记在您的服务器上使用 TLS，并创建 API 文档。 （示例）