我的应用程序要求只有一个帐户可以使用它。因此,我的团队决定使用session和Cookie,因为他们可以控制访问。因此,Cookie具有sessionid和csrf令牌。
据我所知,Cookie适用于浏览器。我不知道这对于本机应用程序来说是否是一个好策略。我不知道是否需要csrf令牌用于Native应用程序。此外,Cookie似乎不如JWT安全。
我从Headers(设置Cookie(中获取Cookie内容,并在Cookie Header&X-CSRFToken标头。
你能描述一下利弊,以及你对这次迁移的看法吗?
从移动应用程序的角度来看,使用带有会话ID的cookie与使用不透明访问令牌没有太大区别。对于移动应用程序来说,它只是一个字符串,您需要从一个位置(响应主体/标头等(获得,然后将其放入另一个地方(Authorization标头或Cookie标头(。Cookie的所有安全功能都由浏览器实现,因此您无论如何都不会使用它们。
至于CSRF令牌,你必须记住,API无法知道是移动应用程序发出请求还是浏览器发出请求。由于您将使用cookie,因此建议您还应提供适当的CSRF保护。