问题描述
我有一个使用PHP的REST API和一个使用此API的Web应用程序。我遇到的问题是我只想授权对我的Web应用程序(以及将来的移动应用程序)使用REST API。
重点在于,大多数REST API都受到保护,因为只有带有Authorization: Bearer "User token"头的请求才能从该用户获取和请求资源(据我所知,通过不使用cookie来标识会话)在API方面,不存在CSRF攻击的风险,也无需采取其他任何必要措施来处理所述令牌的存储。)
但是,我可以使用登录,注册等路径做什么?这些没有会话,这意味着任何人都可以创建用户或从其他位置登录。
问题
解决方案似乎是为每个授权它使用的API客户端创建一个令牌,但是如果该应用程序完全是用JavaScript开发的,没有服务器端语言,那么如何使用和存储该令牌而不暴露它?如果登录表单中包含CSRF令牌,我该如何通过JavaScript在网络上实现它,这样没人能做到吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)