我一直在研究 JWT 和防伪 token ,我发现 this Microsoft 的文章指出,在 JWT 中,防伪验证不是必需的。
这是正确的还是我理解错误?
我正在使用 webapi 和 Angular 6 以及 JWT 开发应用程序
最佳答案
防伪 token 可防止基于 cookie 的 CSRF 攻击。
只要您的 JWT 手动附加到所选请求(与附加到浏览器中每个请求的 cookie 不同),CSRF 就不再可能。
所以,答案是:对于没有在cookie中发送的 token 来说是正确的。
关于angular - JWT 和防伪 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52572061/