4

我有一个单页应用程序,它在我正在构建的 rest api 上使用和验证。整个 SPA 无需身份验证即可加载。

我知道一旦它们在 cookie 中,我将如何处理 csrf 令牌。

对于登录和注册表单,我还没有 CSRF 令牌,因为它们不是服务器呈现的页面。我需要制作一个获取端点'/loadCSRFTokens'来加载cookies吗?

什么是好的做法?人们通常会做什么?

我使用的技术是 Angular 和 Spring-security。

4

1 回答 1

1

当我发布问题时,我有两台服务器:

  • 1 用于加载 SPA
  • 1 用于所有其余 API

我相信只有您从中加载 SPA 的服务器才能在您的浏览器上设置 cookie。因此,由于该服务器无论如何都需要能够设置 cookie,因此它可以响应请求“加载 SPA 主页”并且不需要“/loadCSRFTokens”端点。

我通过将 SPA 作为静态内容提供给 rest-API 服务器的端点之一解决了我的问题。

于 2020-01-26T21:24:22.960 回答