django-allauth移动客户端csrf保护

Question

我想通过移动客户端使用django-allauth服务。当我请求登录时，注册页面会给出csrf protection错误，以防止跨站点请求。我可以通过将csrf_exempt标签放在django-allauth应用程序模块的dispatch方法中来解决这个问题，但我不知道这是否是处理这个问题的合适方法。我不想破坏django-allauth的原始结构。除了这个，我还能做些什么呢?我可以申请一个csrfmiddlewaretoken吗？

Answer 1

在移动身份验证的情况下，csrf_exempt应该是正常的。如果你还想提供一个web界面，那么你应该分开你的url设置，并避免在那里使用csrf_exempt。

如果你想让你的移动认证更安全，那么我会从设备id和存储在你的服务器和应用程序上的秘密字符串创建一个哈希字符串。但是，您还必须在请求中包含设备id才能在服务器上重现散列。