如何解决在100%的客户端网站JavaScript上隐藏令牌 问题
我有一个使用PHP的REST API和一个使用此API的Web应用程序。我遇到的问题是我只想授权对我的Web应用程序(以及将来的移动应用程序)使用REST API。
重点在于,大多数REST API都受到保护,因为只有带有Authorization: Bearer "User token"
头的请求才能从该用户获取和请求资源(据我所知,通过不使用cookie来标识会话)在API方面,不存在CSRF攻击的风险,也无需采取其他任何必要措施来处理所述令牌的存储。)
但是,我可以使用登录,注册等路径做什么?这些没有会话,这意味着任何人都可以创建用户或从其他位置登录。
问题
解决方案似乎是为每个授权它使用的API客户端创建一个令牌,但是如果该应用程序完全是用JavaScript开发的,没有服务器端语言,那么如何使用和存储该令牌而不暴露它?如果登录表单中包含CSRF令牌,我该如何通过JavaScript在网络上实现它,这样没人能做到吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。