この質問には正確な状況があります: csrf 保護と RESTful API を組み合わせるための実行可能な手法は何ですか?
与えられた1つの答えは、使用について話します
- SSL による基本認証
- アプリケーションごとに 1 つの API キー
- OAuth
アプリごとに access_token、client_id、client_secret を持つ OAuth2.0 を実装することについて、私はすでに確信しています。
しかし、これが実際に CSRF の防止に役立つとは知りませんでした。
私の意見では、結局のところ、ssl はまだ必要です。
OAuth2.0 では、クライアント アプリがリソース オーナーに代わってリクエストを送信する場合、client_id、client_secret、アクセス トークンなどのデータ パラメーターと一緒に送信する必要があるためです。
HTTPS を使用しない場合、client_id、client_secret、およびアクセス トークンがリークまたは中間者によって知られている場合、アクセス トークンの有効期限があるため、小さなものではありますが、CSRF の可能性は依然としてあります。
私の理解は正しいですか?