Я реализовал аутентификацию на основе токенов, используя фреймворк django rest.
Но маркеры видны в заголовке HTTP-запросов при использовании инструментов разработчиков браузера. И я могу получить частные данные из API с помощью Postman, используя этот токен. Таким образом, я считаю, что это не безопасный способ аутентификации. Мои вопросы - это тоны, видимые в заголовке HTTP-запроса для каждой проверки подлинности на токенах. Если нет, скажите, пожалуйста, какой из них я должен использовать.
Токены специфичны для этого сеанса входа пользователя. Если пользователь вошел в систему, а злоумышленник имеет физический доступ к устройству, он может получить доступ ко всем необходимым данным через ваш интерфейс. Таким образом, шифрование токена будет нецелесообразным, поскольку оно по-прежнему отправляется как строка для бэкэнд. Схожая с отправкой хэша пароля, а не самого пароля, хеш становится новым паролем. Лучшее, что вы можете сделать, это недействительные токены, если в течение заданного периода времени нет активности, например, 5 минут (используется банками/кошельками). Другой - отказ от пользовательского агента для запросов Postman. Или наиболее параноидальный, вы можете сопоставить отпечатки устройства (https://github.com/Valve/fingerprintjs) к токенам (во время входа в систему), а затем запретить любому другому устройству доступ к одному и тому же токену. Надеюсь, что это поможет, пока не слишком поздно.