Нужен ли мне токен на предъявителя, если у меня есть токен csrf?

Question

Я занимаюсь разработкой Laravel API и хотел использовать токен на предъявителя для безопасного взаимодействия с интерфейсом VueJS. Тогда мой друг сказал мне, что в этом нет необходимости, потому что Laravel уже использует токен CSRF для защиты от XSS-атак.

Итак, является ли моя аутентификация на основе токенов в принципе бесполезной, если я уже использую токен csrf и почему?

Answer 1

Вы говорите о двух разных вещах здесь. Токен Bearer предназначен для аутентификации в API, например, токен CSRF предназначен для защиты от атак с использованием подделки запросов.

Токен на предъявителя - это ваш токен для входа в систему внешнего API-интерфейса, такого как паспорт или членская карта, поэтому вам предоставляется доступ к этой внешней службе. Токен также сообщает серверу, кем является человек / машина, обращающаяся к ресурсу, поэтому сервер может решить, имеют ли они правильные разрешения.

Токен CSRF защищает вас от подделки запроса, что означает, что кто-то делает запрос на ваш сервер. сервер с внешнего сервера или инструмента. Единственное, что говорит токен CSRF, - это то, что запрос пришел от кого-то, использующего ваш сайт, он не сообщает вам, кто этот человек или какие у него есть разрешения.

Надеюсь, вы понимаете. Возможно, вам следует изучить статью CSRF Wikipedia https://en.wikipedia.org/wiki/Cross-site_request_forgery

И некоторую информацию для токенов на предъявителя: https://en.wikipedia.org/wiki/OAuth

Answer 2

токен на предъявителя для защиты ваших API, вы отправляете его в заголовках в запросах. Но токен csrf мы используем при добавлении форм в строительные леса переднего плана laravel

Answer 3

вам определенно следует добавить некоторую аутентификацию баз токенов без сохранения состояния, учитывая тот факт, что токен csrf предназначен только для защиты от XSS-атак, а не для аутентификации и авторизации пользователя на основе роли и разрешения.