CSRF から保護したい API エンドポイントがたくさんあります。これをステートレスでやりたいので、当然JWTが思い浮かびます。
問題は、これらのエンドポイントではユーザーがログインする必要がないことです。
したがって、私の問題は、JWT を使用できることですが、サーバー側でトークンを検証する方法がありません。照合できるログイン ユーザーがいません。
そのような場合にJWTを使用できる方法はありますか?
質問する
181 次
1 に答える
0
CSRF は、ブラウザーが暗黙的に要求を認証する要求 (Cookie または基本認証) の場合にのみ問題になります。ただし、認証がない場合、任意のサイトが API を呼び出す可能性があります。
私があなたのことを正しく理解していれば、API へのリクエストが Web アプリケーションからのものであることを確認する方法を探していることになります。
OAuth 2.0でのクライアント資格情報の付与を見てください。基本的に、ユーザーの代わりにアプリケーションを認証するトークンを発行します。
于 2014-12-13T05:32:02.867 に答える