我有一大堆api端点,我想要保护CSRF。我想以无状态的方式做到这一点,所以自然会想到JWT。
问题是,这些端点不需要用户登录。
所以,我的问题是,我可以使用JWT,但我无法验证服务器端的令牌 - 我没有登录用户,我可以将其匹配。
在这种情况下,JWT有什么办法可以使用吗?
答案 0 :(得分:0)
CSRF仅对浏览器隐式验证请求(cookie或基本身份验证)的请求有问题。但是,如果您没有任何身份验证,任何网站都可能会调用您的API。
因此,如果我理解正确,您正在寻找一种方法来确保您的API请求来自您的网络应用程序。
查看OAuth 2.0中的client credentials grant。它基本上发出一个令牌来验证应用程序而不是用户。