我使用ajax来存储,更新和删除与经过身份验证的用户关联的资源。这些操作的路由使用web中间件,因此可以使用cookie,会话等。项目基于Laravel框架。
是否有必要以其他方式保护这些路线免受未经授权的访问?我已经阅读过可以使用的API令牌,但我不确定是否有必要。
我将非常感谢有关ajax安全性或ajax请求如何工作的任何见解,因为此时它有点过头了。
答案 0 :(得分:6)
我想说,如果您有适当的检查,例如用户无法删除其他用户的实体等,则无需额外的工作......
AJAX请求实际上就像用户浏览到不同的页面,除了它代表他们的javascript发出请求。由于所有内容都已经落后于web中间件,因此您的用户已经在技术上已经登录,因此不需要额外的身份验证。
答案 1 :(得分:2)
什么是JSON Web令牌?
JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一个 紧凑且独立的方式,可安全传输信息 在各方之间作为JSON对象。此信息可以验证并且 信任,因为它是数字签名。可以使用a签名JWT 秘密(使用HMAC算法)或公钥/私钥对使用 RSA。
和本文: