我有很多 api 端点,我想保护它们免受 CSRF 的影响。我想以无状态的方式做到这一点,所以自然会想到 JWT。
问题是,这些端点不需要用户登录。
所以,我的问题是,我可以使用 JWT,但我无法在服务器端验证令牌——我没有可以匹配的登录用户。
在这种情况下有什么方法可以使用 JWT 吗?
我有很多 api 端点,我想保护它们免受 CSRF 的影响。我想以无状态的方式做到这一点,所以自然会想到 JWT。
问题是,这些端点不需要用户登录。
所以,我的问题是,我可以使用 JWT,但我无法在服务器端验证令牌——我没有可以匹配的登录用户。
在这种情况下有什么方法可以使用 JWT 吗?
CSRF 仅对浏览器隐式验证请求(cookie 或基本身份验证)的请求存在问题。但如果您没有任何身份验证,任何站点都可能调用您的 API。
因此,如果我对您的理解正确,您正在寻找一种方法来确保对您的 API 的请求来自您的 Web 应用程序。
查看 OAuth 2.0 中的客户端凭据授予。它基本上发出一个令牌来验证应用程序而不是用户。