Web API 客户端拿到服务器端授权的令牌后,在访问 API 时,服务器端怎么确保客户端的身份是合法的呢?令牌其实就是一个在Http里存储的字符串,别人拿到这个字符串伪造请求该怎么防范? CSRF 攻击。
服务端在生成表单的同时生成一个人隐藏的token并保存在session中,客户端在提交表单后由服务端来验证客户端发来的token是否与session中的值一样