2
我的理解是,反僞造令牌概念是作爲html的一部分發送的(就像在隱藏表單域中一樣),但如果移動客戶端應用程序想要使用API登錄並註冊等...?我不知道該怎麼做,我完全禁用僞造令牌嗎?保留它會很好,因爲它也是一個使用API的網站。ValidateAntiForgeryToken僅適用於僅使用REST API的客戶端
具體而言,我使用的是MVC 4,我正在查看默認模板附帶的AccountController ...它在Login上有一個ValidateAntiForgeryToken屬性...?它是否假設您將始終通過html網頁形式登錄?
好的。我希望有一些方法可以爲瀏覽器客戶端保留反僞造令牌,同時爲應用客戶端提供其他功能。也許是一個API來獲取應用程序的僞造令牌,所以它可以在後續調用登錄等時使用它。主要思想是Web客戶端使用與應用程序客戶端相同的API,並且API始終檢查Web的請求令牌客戶。 – JayPrime2012