在 OAUTH2 的情况下是否需要 CSRF 保护
Is CSRF protection needed in case of OAUTH2
我有一个 REST application 使用 Spring Boot 创建并使用 Spring Security Oauth2 支持保护。我正在使用 Cloudfoundry UAA 作为第三方令牌提供商。
应用程序中没有会话,每个请求都必须附带 UAA 提供的 Oauth2 令牌。是否仍然有必要保护 REST 服务免受 CSRF 攻击?
因为恶意站点无法从我的 UAA 服务获取有效的 Oauth2 令牌。
谢谢
通常 CSRF 攻击目标 Cookies 和 Basic 身份验证 header。
因为在我的应用程序中 none 正在使用 CSRF 不需要保护。
身份验证从提供的 Oauth2 令牌(无基本身份验证)开始,一旦返回响应(无 session cookie)就会忘记请求的状态。
参考文献:
我有一个 REST application 使用 Spring Boot 创建并使用 Spring Security Oauth2 支持保护。我正在使用 Cloudfoundry UAA 作为第三方令牌提供商。
应用程序中没有会话,每个请求都必须附带 UAA 提供的 Oauth2 令牌。是否仍然有必要保护 REST 服务免受 CSRF 攻击?
因为恶意站点无法从我的 UAA 服务获取有效的 Oauth2 令牌。
谢谢
CSRF 攻击目标 Cookies 和 Basic 身份验证 header。
因为在我的应用程序中 none 正在使用 CSRF 不需要保护。
身份验证从提供的 Oauth2 令牌(无基本身份验证)开始,一旦返回响应(无 session cookie)就会忘记请求的状态。
参考文献: