我有很多 api 端点,我想保护它们免受 CSRF 的影响。我想以无状态的方式做到这一点,所以自然会想到 JWT。
问题是,这些端点不需要用户登录。
所以,我的问题是,我可以使用 JWT,但我无法在服务器端验证令牌——我没有可以匹配的登录用户。
在这种情况下有什么方法可以使用 JWT 吗?
问问题
181 次
1 回答
0
CSRF 仅对浏览器隐式验证请求(cookie 或基本身份验证)的请求存在问题。但如果您没有任何身份验证,任何站点都可能调用您的 API。
因此,如果我对您的理解正确,您正在寻找一种方法来确保对您的 API 的请求来自您的 Web 应用程序。
查看 OAuth 2.0 中的客户端凭据授予。它基本上发出一个令牌来验证应用程序而不是用户。
于 2014-12-13T05:32:02.867 回答