Authentication 对相同的请求使用承载令牌和cookie身份验证是否是错误的做法?
我有一个显示API的应用程序Authentication 对相同的请求使用承载令牌和cookie身份验证是否是错误的做法?,authentication,cookies,oauth,token,bearer-token,Authentication,Cookies,Oauth,Token,Bearer Token,我有一个显示API的应用程序 我正在使用承载令牌和cookie作为我的应用程序的身份验证模式。 首先,我检查cookie,如果没有,我检查承载令牌-一旦承载令牌身份验证成功,我会在响应头中附加cookie,以便使用cookie身份验证完成来自同一http客户端的以下调用 最近有人指出,以这种方式使用持票人代币是一种不好的做法,我不应该使用cookies并总是检查持票人代币,但我找不到任何相关信息。 除了让我暴露于CSRF攻击之外,还有什么理由不这么做吗
我正在使用承载令牌和cookie作为我的应用程序的身份验证模式。
首先,我检查cookie,如果没有,我检查承载令牌-一旦承载令牌身份验证成功,我会在响应头中附加cookie,以便使用cookie身份验证完成来自同一http客户端的以下调用 最近有人指出,以这种方式使用持票人代币是一种不好的做法,我不应该使用cookies并总是检查持票人代币,但我找不到任何相关信息。
除了让我暴露于CSRF攻击之外,还有什么理由不这么做吗