如果我有csrf令牌,我甚至还需要一个承载令牌吗?

问题描述 投票:0回答:2

我正在开发Laravel API,我想使用承载令牌来与VueJS前端安全通信。然后我的一个朋友告诉我,这是不必要的,因为Laravel已经使用CSRF令牌来屏蔽XSS-Attacks。

所以,如果我已经使用过csrf令牌,基于令牌的身份验证基本上就没有用,为什么?

php laravel token csrf
2个回答
0
投票

您在这里谈论两件事。Bearer令牌用于对API进行身份验证,CSRF令牌用于保护再次跨侧请求伪造攻击。

不记名令牌是您对护照或会员卡之类的外部api服务的登录令牌,因此您被授予访问此外部服务的权限。

csrf保护您免受来自其他站点的请求(例如)。

希望您能理解。也许您应该研究csrf维基百科条目https://en.wikipedia.org/wiki/Cross-site_request_forgery

以及一些有关承载的信息:https://en.wikipedia.org/wiki/OAuth


0
投票

您绝对应该添加某种无状态令牌库身份验证,考虑到csrf令牌仅用于屏蔽XSS-Attacks,而不是用于基于角色和权限对用户进行身份验证和授权。


0
投票

保护您的api的承载者令牌,您可以在请求的标头中发送它。但是csrf令牌是我们在laravel前端脚手架中添加表单时使用的令牌]


推荐问答