我正在开发Laravel API,我想使用承载令牌来与VueJS前端安全通信。然后我的一个朋友告诉我,这是不必要的,因为Laravel已经使用CSRF令牌来屏蔽XSS-Attacks。
所以,如果我已经使用过csrf令牌,基于令牌的身份验证基本上就没有用,为什么?
您在这里谈论两件事。Bearer令牌用于对API进行身份验证,CSRF令牌用于保护再次跨侧请求伪造攻击。
不记名令牌是您对护照或会员卡之类的外部api服务的登录令牌,因此您被授予访问此外部服务的权限。
csrf保护您免受来自其他站点的请求(例如)。
希望您能理解。也许您应该研究csrf维基百科条目https://en.wikipedia.org/wiki/Cross-site_request_forgery
以及一些有关承载的信息:https://en.wikipedia.org/wiki/OAuth
您绝对应该添加某种无状态令牌库身份验证,考虑到csrf令牌仅用于屏蔽XSS-Attacks,而不是用于基于角色和权限对用户进行身份验证和授权。
保护您的api的承载者令牌,您可以在请求的标头中发送它。但是csrf令牌是我们在laravel前端脚手架中添加表单时使用的令牌]