我有一个使用PHP的REST API和一个使用此API的Web应用程序。我遇到的问题是我只想授权对我的Web应用程序(以及将来的移动应用程序)使用REST API。
重点在于,大多数REST API都受到保护,因为只有带有Authorization: Bearer "User token"头的请求才能从该用户获取和请求资源(据我所知,通过不使用cookie来标识会话)在API方面,不存在CSRF攻击的风险,也无需采取其他任何必要措施来处理所述令牌的存储。)
但是,我可以使用登录,注册等路径做什么?这些没有会话,这意味着任何人都可以创建用户或从其他位置登录。
如果登录表单中包含CSRF令牌,我该如何通过JavaScript在网络上实现它,这样没人能做到吗?