2

偽造防止トークンの概念は(非表示のフォームフィールドのように)htmlの一部として送信されることは理解していますが、モバイルクライアントアプリがAPIを使用してログインや登録などを行う場合はどうなりますか?どうすればよいかわかりませんが、偽造トークンを完全に無効にしますか?APIを使用するWebサイトでもあるので、そのままにしておくと便利です。

具体的には、MVC 4を使用しており、デフォルトのテンプレートに付属しているAccountControllerを調べています...ログイン時にValidateAntiForgeryToken属性があります...?常にhtmlWebページフォームからログインすることを前提としていますか?

4

1 に答える 1

1

偽造防止トークンの概念は、フレームワークによって生成された値(POST要求の場合)を非表示フィールドに埋め込むか、URLアドレス(GET要求の場合)に添付することです。次に、値はサーバー側で検証されます。

デフォルトのテンプレートは、htmlWebページからのログインを使用することを前提としています。APIを使用するアプリを作成する場合は、独自の承認メカニズムを設定する必要があります。アプリがモバイル版でオンラインサイトを使用している場合は、何も変更する必要はありません。

于 2012-12-11T07:34:14.580 に答える