Вход пользователя в систему на Django + React
Я просмотрел довольно много руководств (например, this, this и this) по аутентификации пользователей в полнофункциональном веб-приложении Django + React. Все они просто отправляют имя пользователя и пароль, полученные от пользователя, на бэкэнд с помощью POST-запроса. Мне кажется, что если пользователь оставит компьютер без присмотра на минуту, любой сможет узнать его пароль из заголовков запроса в сетевых инструментах браузера. Является ли это обоснованным опасением, о котором необходимо позаботиться? Если да, то как следует изменить эти примеры? Учебник / пример правильного подхода был бы очень признателен.
Мне кажется, что, если пользователь оставит компьютер без присмотра на минуту, любой может взять его пароль из заголовков запросов в сетевых инструментах браузера
.
Если пользователь оставляет компьютер без присмотра, то то, что вы описываете, вероятно, будет наименьшим из его/ее беспокойств.
Аутентификация - сложная тема, если вы действительно не хотите использовать существующие библиотеки, которые обрабатывают это за вас, то вам придется потратить довольно много времени, чтобы все сделать правильно (зная, что даже тогда риск 0 не существует), самое основное - никогда не хранить учетные данные в открытом виде в вашей БД и использовать https для передачи их через зашифрованное соединение. Затем вы можете начать думать о JWT, избегая локального хранения, CSRF и защите cookies, маркеров обновления и т.д.
.Однако вы не можете сделать многого в случаях, подобных описанному вами, когда люди предоставляют доступ к своим компьютерам или делятся своими паролями с другими, кроме как напомнить им, что они никогда не должны этого делать.
Примечание: если у пользователя не был открыт инструмент мониторинга сети, когда он делал запрос на ваш сайт, его последующее открытие не покажет ранее предоставленные учетные данные в виде обычного текста (однако существуют обходные пути для этого)