从表面上看,它似乎是#a; token auth"与传统的" cookie auth"基本相同。
Token auth:
Cookie auth:
似乎令牌身份验证与cookie身份验证基本相同,只是大多数HTTP客户端已经知道如何自动处理cookie,而您必须手动管理API令牌。
我错过了什么?使用令牌身份验证有什么好处?真的值得付出额外的努力吗?
答案 0 :(得分:1)
额外的努力是否值得,取决于您正在保护什么以及谁在使用API。
当您的客户端不基于浏览器时,基于令牌的身份验证会更容易。因此,如果您要定位移动应用程序,则基于令牌的身份验证值得考虑。
但是在浏览器场景中它也有一些优点。由于浏览器不会自动发送Authorization
标头,因此安全令牌不容易受到CSRF攻击。
如果您的网络应用程序位于API之外的其他域上,则不会因same-origin policy而发送Cookie。安全令牌不受此影响。