我有一个用作REST API后端的应用程序。我想为后端实现基于令牌的身份验证,但为了做到这一点,我需要检索用户令牌。 Flask-Security文档明确指出,为了检索令牌,需要执行HTTP POST并将认证详细信息作为JSON数据发送到认证端点。不幸的是,我不明白如何检索执行此请求所需的CSRF令牌。Flask-Security CSRF令牌
如果我使用随扩展一起提供的登录页面/模板,则CSRF令牌在窗体的隐藏字段中传递给客户端。问题是:
如何在不访问和解析登录页面的情况下检索CSRF令牌,例如使用$ http方法或移动应用程序从angularJS应用中获取样例?
很显然,我可以避免使用Flask-Security并自己实现这些部分,但是我对webapps相对缺乏经验,我觉得我可能会以错误的方式接近它。
你是如何做到这一点的? – kyrre
我最终自己实现了安全层。对不起,我没有更好的答案给你。 – Jacopo
请注意,没有安全的方式将标记存储在angularjs中,请参阅[这里](https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/)。安全选项是让服务器将令牌存储在仅限http的cookie中并启用CSRF保护。如果你需要谈论的是angularjs,那么你可以使用session(+ anti-CSRF)。 – Adversus