Django авторизация на мобильном приложении через RESTful

0

1

Всем привет, хочу сделать авторизацию для мобильного приложения, чтобы пользователь мог зайти под своим аккаунтом и прочитать сообщения например, написать сообщение другому пользователю итд. Как лучше сделать? нагуглил фреймворк Django REST framework, и OAuth2 Toolkit, сделал через OAuth и вручную, вручную выглядит как-то так:

def login (request):
    response_data = {}
    key = request.POST.get("key")

    if (key != API_ACCESS_KEY):
        response_data["result"]     = "error"
        response_data["error_code"] = "G1";
        response_data["message"]    = "Invalid application secret key!"

        return HttpResponse (json.dumps (response_data), content_type = "application/json")

    user = authenticate (username = request.POST.get("email"), password = request.POST.get("password"))

    if user is not None:
        response_data["result"]      = "ok"
        response_data["passwd_hash"] = user.password
    else:
        response_data["result"]  = "error"
        response_data["error"]   = "L1";
        response_data["message"] = "Invalid email or password!"

    return HttpResponse (json.dumps (response_data), content_type = "application/json")

Но возвращать хэш пароля может не самая лучшая идея, поэтому думал туда лучше session id.
Какой способ лучше использовать, через OAuth2 или вручную? может вручную не безопасно? или можно сделать чтобы было безопасно, но при этом не слишком мудрено?

Ссылка

←	facebook coment событие по которому фейсбук обновляет счетчик коментариев

архивирование средствами JS

→

return HttpResponse (json.dumps (response_data), content_type = «application/json»)

Есть JsonResponse, а по сабжу ничего не скажу, ибо ни разу авторизацию не делал.

~~FIL~~ ★★★★
(02.10.15 20:51:34 MSK)
Последнее исправление: FIL 02.10.15 20:51:58 MSK (всего исправлений: 1)

Но возвращать хэш пароля может не самая лучшая идея, поэтому думал туда лучше session id.

Возвращать куда и зачем?

~~FIL~~ ★★★★
(02.10.15 20:53:23 MSK)

Ответ на: комментарий от FIL 02.10.15 20:51:34 MSK

Да так лучше спасибо )

Int64 ★★★
(02.10.15 20:55:03 MSK) автор топика

Ссылка

Ответ на: комментарий от FIL 02.10.15 20:53:23 MSK

Возвращать приложению через json, я на предприятии делал мобильное приложение, так через Basic Auth авторизация, после успешной авторизации давался Access Token который истекает через какое-то время, и его нужно обновлять. Но там это через заголовки все сделано.

Int64 ★★★
(02.10.15 20:56:31 MSK) автор топика

Ссылка

Размышления вслух

Рест нужен чтобы НЕ ИСПОЛЬЗОВАТЬ СЕССИИ. А сессии нужно не использовать для повышения быстродействия. Я недавно лично наткнулся на то что следующий запрос с включенной сессией выполняется только после завершения предыдущего.

Jaberwock ★★★
(02.10.15 21:42:25 MSK)

Ответ на: Размышления вслух от Jaberwock 02.10.15 21:42:25 MSK

да я еще нагуглил что это не очень безопасно, решил использовать OAuth2.0 тем более что на нем уже все работает.

Int64 ★★★
(02.10.15 21:44:28 MSK) автор топика

Ссылка

if user is not None:

А почему не

if user:

?
И не стоит ли сначала всё-таки прочитать мануал по джанге, а потом уже браться за ответственную работу?

Goury ★★★★★
(02.10.15 22:03:05 MSK)
Последнее исправление: Goury 02.10.15 22:03:17 MSK (всего исправлений: 1)

http://www.django-rest-framework.org/api-guide/authentication/

pawnhearts ★★★★★
(02.10.15 22:28:42 MSK)

Ссылка

if (key != API_ACCESS_KEY):

Стоять! у тебя что API_ACCESS_KEY один на всех?! ай не верно это.

ggrn ★★★★★
(03.10.15 00:45:56 MSK)

Ответ на: комментарий от ggrn 03.10.15 00:45:56 MSK

А как верно? сейчас сделал OAuth авторизацию, там дается access_token на время, но как лучше защитить методы которые не требуют авторизацию, к примеру регистрация пользователя?

Int64 ★★★
(03.10.15 08:16:59 MSK) автор топика

Ответ на: комментарий от Goury 02.10.15 22:03:05 MSK

Да скопипастил откуда-то строчку.
Я прочитал мануал, не весь конечно.

Int64 ★★★
(03.10.15 08:17:53 MSK) автор топика

Ответ на: комментарий от Int64 03.10.15 08:17:53 MSK

Ну ты хотя бы в учебнике по питону первые пару глав прочитай
И хотя бы туториал джанги весь пройди

Goury ★★★★★
(03.10.15 11:37:20 MSK)

Ответ на: комментарий от Int64 03.10.15 08:16:59 MSK

а от чего ты их защищать собрался?

А ну и ещё всё же гоняется по https же да?

ggrn ★★★★★
(03.10.15 12:40:07 MSK)

Ответ на: комментарий от Goury 02.10.15 22:03:05 MSK

И не стоит ли сначала всё-таки прочитать мануал по джанге, а потом уже браться за ответственную работу?

Нефиг делать, х-к х-к и в продакшен, потом разберемся.

ggrn ★★★★★
(03.10.15 12:40:52 MSK)

Ссылка

Ответ на: комментарий от Goury 03.10.15 11:37:20 MSK

Туториал весь прошел ))

Int64 ★★★
(03.10.15 13:42:25 MSK) автор топика

Ссылка

Ответ на: комментарий от ggrn 03.10.15 12:40:07 MSK

А ну и ещё всё же гоняется по https же да?

да

Нефиг делать, х-к х-к и в продакшен, потом разберемся.

Просто мне сделали предложение, от которого я не смог отказаться )) Да и приложение легкое очень, так что норм )

Int64 ★★★
(03.10.15 13:43:27 MSK) автор топика
Последнее исправление: Int64 03.10.15 13:43:55 MSK (всего исправлений: 1)

Ответ на: комментарий от Int64 03.10.15 13:43:27 MSK

Надо было переаутсорсить предложение и взять себе менеджерский откат

Goury ★★★★★
(03.10.15 15:01:59 MSK)

Ссылка

Ответ на: комментарий от Int64 03.10.15 13:43:27 MSK

Просто мне сделали предложение, от которого я не смог отказаться )) Да и приложение легкое очень, так что норм )

Все верно иначе опыта не наберешься.

ggrn ★★★★★
(03.10.15 15:06:10 MSK)

Ссылка

mport authomatic и читать маны.

Shadow ★★★★★
(05.10.15 08:37:53 MSK)
Последнее исправление: Shadow 05.10.15 08:38:21 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	facebook coment событие по которому фейсбук обновляет счетчик коментариев

Web-development

архивирование средствами JS

→

Размышления вслух

Похожие темы