我知道基于cookie的身份驗(yàn)證。SSL和HttpOnly標(biāo)志可以應(yīng)用于保護(hù)來(lái)自MITM和XSS的基于cookie的身份驗(yàn)證。但是，將需要采取更多特殊措施來(lái)保護(hù)它免受CSRF的侵害。它們只是有點(diǎn)復(fù)雜。（參考）最近，我發(fā)現(xiàn)JSON Web令牌（JWT）作為身份驗(yàn)證的解決方案非常熱門(mén)。我知道有關(guān)編碼，解碼和驗(yàn)證JWT的知識(shí)。但是，我不明白為什么某些網(wǎng)站/教程告訴您使用JWT不需要CSRF保護(hù)。我已經(jīng)閱讀了很多，并嘗試總結(jié)以下問(wèn)題。我只希望有人可以提供JWT的概況，并闡明我對(duì)JWT誤解的概念。如果JWT存儲(chǔ)在cookie中，則我認(rèn)為它與基于cookie的身份驗(yàn)證相同，只是服務(wù)器不需要會(huì)話來(lái)驗(yàn)證cookie /令牌。如果不采取特殊措施，CSRF仍有風(fēng)險(xiǎn)。JWT是否存儲(chǔ)在cookie中？如果JWT存儲(chǔ)在localStorage / sessionStorage中，則沒(méi)有cookie，因此不需要防御CRSF。問(wèn)題是如何將JWT發(fā)送到服務(wù)器。我在這里發(fā)現(xiàn)建議使用jQuery通過(guò)Ajax請(qǐng)求的HTTP標(biāo)頭發(fā)送JWT。那么，只有ajax請(qǐng)求可以進(jìn)行身份驗(yàn)證嗎？此外，我還發(fā)現(xiàn)了另一個(gè)博客節(jié)目，使用“ Authorization header”和“ Bearer”發(fā)送JWT。我不了解博客談?wù)摰姆椒?。有人可以解釋一下“授?quán)標(biāo)頭”和“承載者”嗎？這是否會(huì)使通過(guò)所有請(qǐng)求的HTTP標(biāo)頭傳輸?shù)腏WT？如果是，CSRF怎么樣？