我已经设置了一个单页网站,该网站使用JWT身份验证进行用户登录。 它使用angularjs和ui-router来导航页面。
我是否也需要CSRF保护,或者我可以只使用JWT令牌来保护仅限管理员的区域?
答案 0 :(得分:0)
单页应用程序通常允许用户登录并使用生成的JWT令牌通过承载方案身份验证调用REST API。
应用程序框架页面(HTML / JavaScript / CSS等)的加载通常不安全(因为这些文件不包含敏感数据)。浏览器不会自动将承载令牌添加到页面请求中。
如果您想保护HTML和JavaScript页面,可以使用基于cookie的身份验证,因为浏览器会自动将Cookie添加到请求中。