JWT认证可以作为一种抗CSRF机制吗？

Question

在角单页应用程序(角+ REST )上，我使用JWT身份验证。让我们假设JWT令牌是正确生成的，并且是真正随机的(您无法预测)。

这个JWT令牌对跨站点请求伪造(CSRF)跨站点请求伪造(CSRF)是否有足够的保护-换句话说，JWT作为反CSRF令牌也足够吗？

Answer 1

如果JWT位于头中，那么您应该是安全的。攻击者无法欺骗受害者浏览器设置标头(除非CORS允许，或者利用旧的闪存开发)。但让我们假设攻击者可以控制头部。那她应该把它设置成什么？她不会知道的。

另一方面，如果JWT在cookie中，您将与普通会话cookie一样容易受到攻击。因此，您是否易受攻击与您使用哪种令牌(JWT或会话ID)没有什么关系，但更多的是与您将其放在何处(标头或cookie)有关。

即使身份验证带有automagic保护，您也可以考虑添加一个显式的CSRF保护。总有一种风险，就是有人在没有意识到认证机制有双重目的的情况下改变了认证机制。