Как организовать аутентификацию SPA при использовании Django REST framework и SessionAuthentication?
Есть: API на DRF, SessionAuthentication. Не могу понять, как правильно и безопасно организовать аутентификацию пользователя в SPA, если форма логина рендерится SPA.
При использовании сессий для безопасности необходимо использовать csrf токен.
Например, в случае обычного многостраничного приложения на Django используется стандартный django LoginView. Токен будет в скрытом поле в отрендеренной на сервере форме, а также в Set-Cookie заголовка ответа, все просто и понятно.
А как быть в случае SPA, можно ли токен запросить например GET запросом на /auth/login/, затем аутентифицироваться путем POST /auth/login (с передачей в заголовке ранее полученного токена разумеется), насколько это будет правильно с точки зрения безопасности?