如果我们正在制作一个需要登录和密码(以及客户端和服务器)的信使程序,那么,我认为,我们实际上需要一个安全令牌,就像你在网上一样。
实际上,如果客户端具有发送到服务器以执行任何操作的有效安全令牌,那么令牌匹配的事实意味着任何操作(甚至"删除我的帐户")是有效(除非我们有一个非常好的黑客)。正确?
答案 0 :(得分:0)
如果远程登录网址被其他使用浏览器的应用程序使用,那么您需要csrf保护。
您确实希望正确处理身份验证和授权。请使用适合您的服务器环境的框架。哈希密码并使用tls。