我在PHP上编写了REST API,并使用基于JWT的身份验证。 工作流程很简单:用户发送用户名和密码并获取JWT令牌,并在所有REST请求中对其进行身份验证。一切都是相当逻辑和酷,但现在我有一个存储令牌客户端的问题,在一些谷歌搜索后我发现只有HTTP Only,安全cookie对此有好处,但它们容易受到CSRF攻击,所以我打算用户CSRF令牌解决了这个问题。这里有一个问题,REST如何验证CSRF令牌,如果客户端发出令牌? REST后端如何理解这个随机字符串对此请求有效,而另一个随机字符串不是? REST是无状态的,他不知道什么样的令牌客户端已发布,因为REST和客户端位于不同的后端,即使在不同的服务器上也是如此。