Warning: file_get_contents(/data/phpspider/zhask/data//catemap/5/spring-mvc/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security JWT用于未认证端点上的CSRF保护?_Security_Authentication_Csrf_Jwt_Express Jwt - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security JWT用于未认证端点上的CSRF保护?

Security JWT用于未认证端点上的CSRF保护?

security authentication jwt

Security JWT用于未认证端点上的CSRF保护?,security,authentication,csrf,jwt,express-jwt,Security,Authentication,Csrf,Jwt,Express Jwt,我有很多api端点,我想保护它们不受CSRF的影响。我想以一种无状态的方式来做这件事,所以自然会想到JWT 问题是,这些端点不需要用户登录 所以,我的问题是,我可以使用JWT,但我无法在服务器端验证令牌-我没有可以匹配的登录用户 在这种情况下,有没有办法使用JWT?CSRF仅适用于浏览器隐式验证请求cookie或基本身份验证的请求。但如果您没有任何身份验证,任何站点都可能调用您的API 因此,如果我理解正确,您正在寻找一种方法来确保对API的请求来自您的web应用程序 看看OAuth 2.0中的

我有很多api端点,我想保护它们不受CSRF的影响。我想以一种无状态的方式来做这件事,所以自然会想到JWT

问题是,这些端点不需要用户登录

所以,我的问题是,我可以使用JWT,但我无法在服务器端验证令牌-我没有可以匹配的登录用户

在这种情况下,有没有办法使用JWT?

CSRF仅适用于浏览器隐式验证请求cookie或基本身份验证的请求。但如果您没有任何身份验证,任何站点都可能调用您的API

因此,如果我理解正确,您正在寻找一种方法来确保对API的请求来自您的web应用程序

看看OAuth 2.0中的。它基本上是发出一个令牌来验证应用程序,而不是用户