根据this (on youtube)会议,我们不应该对Web Api使用Cookie身份验证,因为如果同一域中有多个服务器,则有可能遭受CSRF攻击。
他说:“ 我们应该改用JWT Bearer令牌”
究竟如何使用JWT令牌身份验证解决此问题?
编辑
This为正在发生的事情提供了更多信息。
据我了解,有两种缓解CSRF的方法:
将令牌而不是cookie放入 Authentication 标头中,并将令牌存储在 localStorage 中。这样,如果通过上述文章中描述的流氓形式发送它们,则它们不会被附加。是否将JWT令牌放入 Authentication 标头中?
据我所知,另一种方法是通过使用隐藏的输入字段来添加防伪令牌。可以在Razor中轻松打开它,并且在Angular中受支持。但是React呢?这样,我们可以坚持对Web Api使用标准的Cookie身份验证吗?我们可以在React中做到吗?有例子吗?
但是,如上文所述,如何共享域?共享域上的另一个应用是否有任何风险来获取身份验证令牌或cookie?