据我所知,反伪造令牌概念是作为html的一部分发送的(就像在隐藏的表单字段中一样),但是如果移动客户端应用程序想要使用API来登录和注册等等呢?我不知道该怎么办,我是否完全禁用了伪造令牌?保留它会很好,因为它也是一个使用API的网站。
具体来说我正在使用MVC 4,我正在查看随默认模板一起提供的AccountController ...它在Login ...上有一个ValidateAntiForgeryToken属性?它是否假设您将始终通过html网页表单登录?
答案 0 :(得分:1)
反伪造令牌的概念是嵌入一个隐藏字段,其中包含框架生成的值(用于POST请求)或将其附加到URL地址(GET请求)。然后在服务器端验证该值。
默认模板假设您将通过html网页使用登录。如果您想创建一个使用API的应用程序,您必须设置自己的授权机制。如果您的应用在其移动版本中使用您的在线网站,则无需进行任何更改。