我正在做一个简单的项目来练习django。
我使用simplejwt使用JWT实现认证过程。
此外,我有React前端环境和使用axios进行API调用,但有一些问题:
我必须为每个API调用验证JWT吗?
验证令牌的更好的方法是:从客户端(前端)发出API请求到"API/令牌/验证/"还是从服务器端调用其验证API开始设计每个API(但这似乎有点奇怪,因为每个API都需要额外的令牌)?
例如,如果我写一个评论并点击提交按钮,前者在调用客户端(React)的编写API之前会调用令牌验证API,而后者只调用编写API,但API本身在处理自己的API逻辑之前会调用验证API。
提前感谢。
无论您想要验证哪个API,都需要验证JWT令牌,因为如果不验证JWT令牌,后端如何知道这是执行事务的授权用户?你不需要在你的前端客户端上验证JWT,你的后端可以为你做这件事,你需要在请求头中传递你的令牌,在后端,你可以有中间件或一些装饰器来负责用户的验证。