Wir entwickeln derzeit eine vollständig auf AJAX basierende App, die über eine RESTful-API mit dem Server interagieren wird. Ich habe mögliche Schemata zum Schutz vor XSRF-Angriffen gegen die API in Betracht gezogen.XSRF-Schutz in einer AJAX-App
Benutzer authentifiziert und erhält eine Session-Cookie, das mit jeder Anforderung auch Doppel vorgelegt.
Wir ein OAuth Verbraucher in Javascript implementieren, ein Token abrufen, wenn sich der Benutzer anmeldet, und alle Anfragen mit diesem Token anmelden.
Ich bin Neigung in Richtung des OAuth Ansatzes, vor allem, weil ich 3rd-Party-Zugriff auf unsere API zur Verfügung zu stellen möchte und ich würde lieber nicht zwei Authentifizierungsschemata zu implementieren.
Gibt es einen Grund, warum ein OAuth-Benutzer in dieser Situation nicht arbeiten würde?