2

据我了解,防伪令牌概念是作为 html 的一部分发送的(例如在隐藏的表单字段中),但是如果移动客户端应用程序想要使用 API 登录和注册等怎么办......?我不知道该怎么做,我要完全禁用伪造令牌吗?保留它会很好,因为它也是一个使用 API 的网站。

具体来说,我正在使用 MVC 4,并且正在查看默认模板附带的 AccountController ...它在 Login 上有一个 ValidateAntiForgeryToken 属性...?它是否假设您将始终通过 html 网页表单登录?

4

1 回答 1

1

防伪令牌的概念是嵌入一个隐藏字段,其值由框架生成(用于 POST 请求)或附加到 url 地址(GET 请求)。然后在服务器端验证该值。

默认模板假定您将通过 html 网页使用登录。如果你想创建一个使用 API 的应用程序,你必须设置自己的授权机制。如果您的应用程序在其移动版本中使用您的在线网站,则您无需进行任何更改。

于 2012-12-11T07:34:14.580 回答