根据这个(在 youtube 上)的会议,我们不应该对 Web Api 使用 Cookie 身份验证,因为如果同一个域上有多个服务器,就有可能受到 CSRF 攻击。
他说:“我们应该改用 JWT Bearer 令牌”
究竟使用 JWT 令牌认证如何解决这个问题?
编辑
这让我们对正在发生的事情有了更多的了解。
据我了解,有两种缓解 CSRF 的方法:
将令牌放入Authentication标头而不是 cookie 并将令牌存储在localStorage中。这样,如果以上述文章中所述的某种流氓形式发送,它们就不会被附加。JWT 令牌被放入Authentication标头?
据我了解,另一种方法是使用隐藏的输入字段来添加防伪令牌。这可以在 Razor 中轻松打开,并且在 Angular 中受支持。但是 React 呢?这样我们就可以坚持为 Web Api 使用标准的 Cookie 身份验证吗?我们可以在 React 中做到吗?有什么例子吗?
但是,如上文所述,共享域呢?共享域上的其他应用程序获取身份验证令牌或 cookie 是否存在风险?