我有一个单页应用程序,它使用我正在构建的rest api并进行身份验证。整个SPA无需身份验证即可加载。
我知道将csrf令牌放入cookie后将如何处理。
对于登录和注册表格,我还没有CSRF令牌,因为这些不是服务器呈现的页面。我是否需要仅获取cookie来获取端点'/ loadCSRFTokens'?
什么是良好做法?人们通常做什么?
我正在使用的技术是Angular和Spring-security。
发布问题时,我有两台服务器:
我相信只有从中加载SPA的服务器才能在浏览器中设置Cookie。因此,由于该服务器无论如何都需要能够设置cookie,因此它可以响应请求“加载SPA主页”来进行设置,并且不需要“ / loadCSRFTokens”端点。
我通过在REST-API服务器的端点之一上将SPA作为静态内容提供服务来解决了我的问题。