我有一個用作REST API後端的應用程序。我想爲後端實現基於令牌的身份驗證,但爲了做到這一點,我需要檢索用戶令牌。 Flask-Security文檔明確指出,爲了檢索令牌,需要執行HTTP POST並將認證詳細信息作爲JSON數據發送到認證端點。不幸的是,我不明白如何檢索執行此請求所需的CSRF令牌。Flask-Security CSRF令牌
如果我使用隨擴展一起提供的登錄頁面/模板,則CSRF令牌在窗體的隱藏字段中傳遞給客戶端。問題是:
如何在不訪問和解析登錄頁面的情況下檢索CSRF令牌,例如使用$ http方法或移動應用程序從angularJS應用中獲取樣例?
很顯然,我可以避免使用Flask-Security並自己實現這些部分,但是我對webapps相對缺乏經驗,我覺得我可能會以錯誤的方式接近它。
你是如何做到這一點的? – kyrre
我最終自己實現了安全層。對不起,我沒有更好的答案給你。 – Jacopo
請注意,沒有安全的方式將標記存儲在angularjs中,請參閱[這裏](https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/)。安全選項是讓服務器將令牌存儲在僅限http的cookie中並啓用CSRF保護。如果你需要談論的是angularjs,那麼你可以使用session(+ anti-CSRF)。 – Adversus