将 CSRF 保护与 RESTful API 结合起来有哪些可行的技术？

Question

我有兴趣了解人们在为其 Web 应用程序构建 RESTful（或准 RESTful）API 时采取的方法。

一个实际的例子：

假设您有一个传统的基于浏览器的 Web 应用程序，它对所有表单都使用 CSRF 保护。浏览器中显示的每个表单中都包含带有 CSRF 保护令牌的隐藏输入。提交表单后，如果此输入与令牌的服务器端版本不匹配，则该表单被视为无效。

现在假设您想要将 Web 应用程序公开为 API（可能使用 JSON 而不是 HTML）。传统上，在发布 API 时，我认为事务是单方面的（这意味着 API 使用者基于已发布的 API 构建请求，而不是首先请求表单，然后使用返回的表单构建请求）。

当诸如 CSRF 保护因素加入时，“单边”方法就会失效。CSRF 保护令牌需要包含在 API 使用者发送的任何 POSTS/PUTS/DELETES 中。

我一直在思考如何最好地解决这个问题。每次需要进行 API 调用时请求一个表单似乎非常尴尬（尤其是在处理异步操作时），但我自己想到的所有其他替代方案似乎都击败了 CSRF 保护（或者至少在其中打孔） ），这是不可接受的。

你们中有人对此有见解吗？

谢谢。

（并不是说它应该太重要，因为问题是概念性的和平台无关的，但我正在处理传统的 LAMP 堆栈并使用 Symfony 1.4 作为我的应用程序框架。我的目标是发布一个 JSON 格式的 Web API，允许开发人员使移动/桌面应用程序能够与现有的 Web 应用程序很好地配合。）

Answer 1

REST 与身份验证（即基本身份验证）配合得很好，因此请尝试使用用户站点的用户名和特定于绑定到该用户的应用程序的密码——有时称为 API 密钥的技术。 FriendFeed 的 API 正在执行的操作请参阅文档。

有几点需要注意：

• 使用摘要身份验证或
• 具有每个应用程序 API 密钥的 SSL 可能会产生一些开销，因此大多数站点都为所有第 3 方应用程序提供单个 API 密钥
• OAuth 可能值得一试