11

More than 5 years have passed since last update.

WEB APIのCSRF対策の例（ステートレスで）

Posted at 2018-03-22

対策例

Token APIを作成する
Token APIは、JWT（Json Web Token）で電子署名したJSONを返す。
- JSON項目の例
  - userId:
  - expireDate: 24時間後など
更新APIを呼ぶ前（更新画面表示時など）に、Token API を呼んでJWTを取得する
更新APIをリクエストする際は、AutorizationヘッダにJWTを追加する（クッキーを使用すると対策にならないので注意）

参考

11

Register as a new user and use Qiita more conveniently

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up

11