Джанго, CORS, CSRF - я делаю это правильно?
Моя настройка (локальная) следующая:
- Vue.js, работающий на localhost:8080 (npm run serve)
- API REST, созданный с использованием Django на локальном хосте:8000 (./manage-py runserver)
Чтобы это работало, я сделал следующие дополнения:
ALLOWED_HOSTS = [
...
'localhost',
'localhost:8000',
'localhost:8080',
]
INSTALLED_APPS = [
...
'rest_framework',
'corsheaders',
]
MIDDLEWARE = [
...
'django.contrib.sessions.middleware.SessionMiddleware',
'corsheaders.middleware.CorsMiddleware',
'django.middleware.common.CommonMiddleware',
...
]
CORS_ORIGIN_WHITELIST = (
'localhost:8080',
'localhost:8000',
)
CORS_ALLOW_CREDENTIALS = True
from corsheaders.defaults import default_headers
CORS_ALLOW_HEADERS = default_headers + (
'credentials',
)
Одна из моих функций API:
@ensure_csrf_cookie
def try_login(request):
# this is just to get the initial CSRF token:
if request.method == "GET" or request.method == "OPTIONS":
return JsonResponse({'status': 'ok'})
# else, an actual login request:
else:
data = JSONParser().parse(request)
user = authenticate(request, username=data['user'] , password=data['pass'])
if user is not None:
login(request, user)
return JsonResponse({'login_succ': 'ok'});
else:
return JsonResponse({'login_succ': 'fail'});
Наконец, в Vue:
api: function(endpoint, method, data) {
var headers = new Headers();
headers.append('content-type', 'application/json');
if (... this is not the first request ever ...)
{
csrftoken = document.cookie.replace(/(?:(?:^|.*;\s*)csrftoken\s*\=\s*([^;]*).*$)|^.*$/, "$1");
headers.append('X-CSRFToken', csrftoken);
}
method = method || 'GET';
var config = {
method: method,
body: data !== undefined ? JSON.stringify(data) : null,
headers: headers,
};
config['credentials'] = 'include';
return fetch(endpoint, config)
.then(response => response.json())
.catch((error) => { console.log(...); });
},
trylogin: function() {
// initial request: just to get the CSRF token
this.api(".../login/", "GET").then(
response => {
this.api(".../login/", "POST", {'username': ..., 'password': ...} ).then(
response => {
if ("login_succ" in response && res["login_succ"] == "ok")
{} // user is logged in
}
);
}
);
}
Что сейчас происходит, так это то, что мой начальный запрос API (который не обязательно должен указывать на конечную точку, равную последующему запросу POST, верно?) Получает токен CSRF в виде файла cookie. Каждый последующий запрос читает этот файл cookie и устанавливает заголовок X-CSRFToken. Сам cookie также отправляется в последующих запросах. Я не понимаю, зачем нужен токен в обоих местах.
Правильный ли этот подход? Все, что я сделал, необходимо? (Существуют ли избыточные части?) Меня особенно интересует способ получения токена в первую очередь и вообще его жизненный цикл.
Спасибо.