У меня есть non-restful API, который использует сессии и базу данных для них.
Я недавно работал над restful API, используя jwt для аутентификации. Я думаю, что это легче реализовать. Маршруты, требующие аутентификации, не могут быть целью атак csrf, поскольку они содержат заголовок. Другое дело не хранение данных сеанса в базе данных. Так могу ли я реализовать аутентификацию jwt на API без возможности восстановления? И как?
Я понял, что не могу отправлять заголовки, используя только формы, поэтому я, вероятно, отправил бы токен в URL (для GET) или в теле (для POST)? Есть ли проблема с этим подходом.
Спасибо за любой совет:)