인증되지 않은 엔드 포인트에서 CSRF 보호를위한 JWT?

Question

CSRF에서 보호하고자하는 api 엔드 포인트로드가 있습니다. 저는 이것을 무국적자로하고 싶습니다. 자연스럽게 JWT가 떠오릅니다. .

문제는 이러한 엔드 포인트는 사용자가 필요하지 않습니다이다

그래서, 내 문제는, 내가 JWT를 사용하여 로그인,하지만 서버 측에서 토큰을 확인할 방법이 없습니다합니다 - 내가 로그인 할 수있는 사용자가 없습니다.

그런 경우에는 JWT를 사용할 수 있습니까?

Answer 1

CSRF는 브라우저가 암시 적으로 요청 (쿠키 또는 기본 인증)을 인증하는 요청에만 문제가 있습니다. 그러나 인증이 없으면 모든 사이트에서 잠재적으로 API를 호출 할 수 있습니다.

잘 이해하면 API에 대한 요청이 웹 응용 프로그램에서 발생했는지 확인하는 방법을 찾고 있습니다.

OAuth 2.0에서 client credentials grant을 확인하십시오. 기본적으로 사용자 대신 응용 프로그램을 인증하는 토큰을 발행합니다.