인증 된 사용자와 인증되지 않은 사용자 모두 CSRF 토큰 Django가 자동으로 생성되는지 궁금합니다. 모든 사용자 - 인증 또는 인증되지 않은 사용자가 API 끝점에 대한 후속 호출을 할 수 있도록 양식 데이터를 게시하기위한 API를 만들고 싶기 때문에 궁금합니다. 그러나 CSRF 토큰을 각 사용자의 헤더에 "첨부"해야하는지 궁금합니다. (인증되지 않은 사용자도 CSRF 토큰을 가짐을 의미 함)Django - 인증 된 사용자와 인증되지 않은 사용자를위한 CSRF 토큰?
0
A
답변
0
Django의 기본 인증 메커니즘을 사용하려면 인증 된 사용자와 인증되지 않은 사용자 모두 유효한 CSRF 토큰이 필요합니다. 사용자가 로그인하면 토큰이 회전됩니다.
토큰이 필요한지 여부는 사용자가 인증되었는지 여부에 크게 의존하지 않지만 인증 메커니즘에 따라 다릅니다. 인증이 세션/쿠키를 사용하여 사용자를 인증하는 경우 공격자는 각 요청에 대해 암시 적으로 보내는 세션 정보를 사용하여 요청을 위조하고 희생자가 수행 할 수있는 일부 작업을 수행 할 수 있습니다. 반면에, 예를 들어 토큰 인증은 각 요청과 함께 토큰을 명시 적으로 보내야하며 공격자는 토큰을 알거나 토큰을 사용하는 요청을 위조 할 수 없습니다.
관련 문제
- 1. Symfony 1.4 : 인증 된 사용자와 인증되지 않은 사용자를위한 기능 테스트
- 2. Django CSRF 형식이없는 토큰
- 3. Jquery와 Django CSRF 토큰
- 4. 장고 CSRF 토큰 인증 실패
- 5. Django 및 iOS의 CSRF 토큰
- 6. Django - AJax 로그인 후 CSRF 토큰이 무효화 된 것 같습니다.
- 7. 인증되지 않은 엔드 포인트에서 CSRF 보호를위한 JWT?
- 8. MongoEngine 사용자를위한 Django Rest 프레임 워크 토큰 인증
- 9. ASP.NET MVC 3의 인증되지 않은 사용자를위한 캐시 홈 페이지
- 10. django : 맞춤 토큰 인증
- 11. 인증 된 사용자를위한 iCal
- 12. Django csrf 토큰 누락 또는 잘못된 오류
- 13. Django auth.models.User는 인증되지 않았지만 인증 데이터베이스에 있습니다.
- 14. 토큰 기반 인증의 CSRF
- 15. 요청에 추가 된 CSRF 토큰
- 16. Django - 인증되지 않은 사용자 개체 검색
- 17. 장고 CSRF 토큰
- 18. django 아직 등록하지 않은 사용자를위한 양식을 저장하십시오.
- 19. 사용자 인증 - 로그인했지만 인증되지 않은 사용자
- 20. CSRF 토큰이 CURL 명령에서 인증되지 못하는 원인입니까?
- 21. 웹 서비스에서 인증되지 않은 인증 방식을 만남
- 22. CSRF 토큰 유효성 검사
- 23. CSRF Django와 Javascript의 토큰 생성
- 24. CSRF 토큰 세션 재설정
- 25. ASP.Net에서 인증되지 않은 web.config를 통한 인증 3.5
- 26. 내 인증 데이터를 인증되지 않은 사용자에게 표시
- 27. Django REST 프레임 워크 인증 토큰
- 28. Django 사용자와 django 사용자와의 연결
- 29. Nightwatch.js와의 인증 된/인증되지 않은 다운로드 링크 테스트
- 30. Devise rubygem - 인증 된/인증되지 않은 사용자의 작업을 어떻게 필터링합니까?
감사합니다. 사람이 로그인하지 않았을 때 csrf 토큰이 필요한 이유는 아직도 혼란 스럽습니다 (쿠키가 없습니다). 사람이 로그인하지 않은 경우 대부분의 작업이 "안전"하지 않습니까? – BudaeJjigae