JWT
csrf
REST-API

WEB APIのCSRF対策の例(ステートレスで)

対策例

  • Token APIを作成する
  • Token APIは、JWT(Json Web Token)で電子署名したJSONを返す。
    • JSON項目の例
      • userId:
      • expireDate: 24時間後など
  • 更新APIを呼ぶ前(更新画面表示時など)に、Token API を呼んでJWTを取得する
  • 更新APIをリクエストする際は、AutorizationヘッダにJWTを追加する(クッキーを使用すると対策にならないので注意)

参考