繁体 English 中英

没有CSRF令牌的身份验证

[英]Authentication without CSRF token

原文 2017-04-04 11:43:08 6 1 api/ authentication/ ssl/ csrf

我有一个简单的Web应用程序，可以对用户进行身份验证。 它在https下工作，因为很简单，它需要两个字段username ， password + csrf token 。

现在，我实现了一个简单的API，该API可以验证具有给定用户名和密码的用户是否存在。 在同一域上也使用https使用jquery.post()方法调用它，但是我仅提供username和password 。

假设我的API在“已注册”时仅具有一个功能，是否需要担心什么？ 当然是蛮力的。

假设我的API在“已注册”时仅具有一个功能，是否需要担心什么？

“问题”对于我来说太宽泛，无法胜任回答，但您不必担心CSRF，只要您保留请求及其结果和所描述的原因即可。 让我来告诉你为什么。

CSRF攻击是指攻击者以用户的名义（带有用户的有效会话和/或用户的其他私人信息）以诱骗者或诱使用户执行攻击者想要的操作（发送请求），攻击者使用攻击者想要的参数和数据。用户）。

如果网站认为用户发出了请求，尽管它只是被迫这样做，但它可能永远不会对任何人造成任何伤害，因此您不需要CSRF令牌。 似乎您的情况如此，因为如果强制用户询问是否存在由攻击者提供的名称和密码的帐户，这并没有害处。

您只需要注意不要根据发送该请求的用户更改此类请求的原因及其结果。

是否可以在没有身份验证令牌的情况下使用 AWS API

[英]Is it possible to use AWS API without Authentication Token

[英]Symfony 3 csrf token

[英]Is API for CSRF token safe?

[英]Can we get the data without submitting the form in case of CSRF Token via Postman

[英]Token authentication

[英]CSRF TOKEN on api serving application

[英]Laravel API requests with CSRF token

[英]CSRF token in angular is different of Laravel 5

[英]adding CSRF TOKEN in axios request

[英]How to POST to Laravel API with CSRF Token?

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 是否可以在没有身份验证令牌的情况下使用 AWS API Symfony 3 CSRF令牌 CSRF 令牌的 API 安全吗？在CSRF Token通过Postman的情况下，我们可以在不提交表格的情况下获取数据吗令牌认证 API服务应用程序上的CSRF TOKEN 带有CSRF令牌的Laravel API请求角度中的CSRF令牌与Laravel 5不同在 axios 请求中添加 CSRF TOKEN 如何使用CSRF令牌发布到Laravel API？

相关标签