1) Есть, только без подтверждения
2) Принципом авторизации, знаете различие между Oauth2 и Auth Basic, ну вот.
Я бы не сравнивал Oauth2 и Auth Basic, инструменты для разных целей.
Ну вот я пишу мобильное приложение. Oauth2 и Auth Basic это очень разные вещи.
А вот сессия и токен - в чем различия то? То что в сессии может хранится параметр?
В общем я посмотрел Djoser и понял, что реализованная аутентификация мной лучше. А Djoser еще допиливать не мало придется (времени жизни токена нет, смена емейла не реализована по нормальному, мне надо еще проверять не заблокирован ли пользователь, не поставлен ли ему флаг удаления, ...). То есть на его основе делать свою систему. Думаю лучше самому написать, а то потом ченить во фреймворке изменится и все переделывать..