現在、RESTful API を介してサーバーと対話する、完全に AJAX ベースのアプリを開発しています。API に対する XSRF 攻撃から保護するための潜在的なスキームを検討しました。
ユーザーは認証を受けてセッション Cookie を受け取ります。これも各要求で二重に送信されます。
Javascript で OAuth コンシューマーを実装し、ユーザーがログインしたときにトークンを取得し、そのトークンですべてのリクエストに署名します。
私は OAuth アプローチに傾倒しています。これは主に、API へのサードパーティ アクセスを提供したいためであり、2 つの認証スキームを実装する必要はありません。
この状況で OAuth コンシューマーが機能しない理由はありますか?