如何使用React和Django进行用户令牌认证和存储

我想要实现的是一种安全且用户体验友好的方法来验证和存储用户的令牌。

1. 正如这里所看到的，建议的答案建议使用一组必须具有安全和httpOnly属性的两个cookie(因为我有Django和React在不同的域，我将无法使用任何类型的相同的esite cookie)

2. 在同样的问题中，下一个最佳答案建议使用Redux (Redux是否更安全?)将令牌存储在变量中，并使用存储在LocalStorage中的刷新令牌来刷新它，该刷新令牌将用于获取认证令牌。现在我看到的问题是，他提到他在他的解决方案中使用LocalStorage作为cookie对他的无状态方法并不好。如果我没弄错的话，cookie既不是有状态的也不是无状态的，它只是一个传输媒介，里面的东西是无状态的，比如Django用它的模板和会话认证做的sessionId。

3. 我看到其他人建议使用httpOnly cookie和csrf令牌，这是我想采取的方法。我想让用户进行身份验证，如果找到用户，则在httpOnly cookie和csrf令牌中返回令牌，可以由js访问以防止攻击。这将有助于缓解我所担心的两个问题。此外，我必须实现刷新令牌，因为每次刷新页面时cookie都会丢失，而且我不希望用户每次刷新时都必须登录。这也是我认为发生在像SO或Instagram这样的页面，在cookie和LocalStorage中有令牌，所以它一定有什么好东西。

考虑到这一点和我提到的目标，我想知道从安全角度来看的最佳方法以及如何实现这一目标。我不希望代码的答案，因为我正在学习如何构建我的第一个应用程序，这可能会在现实世界中使用，我的安全是重要的。正如第2点的答案所提到的，尽管我的知识有限，但我没有看到只使用LocalStorage的教程，除了一个快速的应用程序外，没有给它太多的帮助。

到目前为止，这是我的API使用Knox的样子

class LoginViewAPI(generics.GenericAPIView):
authentication_classes = [TokenAuthentication]
permission_classes = [AllowAny]
serializer_class = LoginSerializer
@method_decorator(ensure_csrf_cookie)
def post(self, request):
serializer = LoginSerializer(data = request.data)
serializer.is_valid(raise_exception=True)
user = serializer.validated_data
response=None
if(user is None):
return Response({"message":"The user was not found"}, status=status.HTTP_404_NOT_FOUND)
else:
response=Response({"user": userSerializer(user, context=self.get_serializer_context()).data})
token = AuthToken.objects.create(user)[1]
response.set_cookie(
'auth_token', token, 
httponly=True,
)
return response

我仍然需要弄清楚csrf令牌部分，因为装饰器似乎没有完成它的工作。