TL;博士

如果在没有 Cookie 的情况下使用 JWT，则不需要 CSRF 令牌 - 但是！通过将 JWT 存储在 session/localStorage 中，如果您的站点存在 XSS 漏洞（相当常见），您将暴露您的 JWT 和用户身份。最好将csrfToken密钥添加到 JWT 并将 JWT 存储在带有secure和http-only属性集的 cookie 中。

阅读这篇文章，了解更多信息 https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage

您可以通过包含 xsrfToken JWT 声明使此 CSRF 保护无状态：

{ "iss": "http://galaxies.com", "exp": 1300819380, "scopes": ["explorer", "solar-harvester", "seller"], "sub": "tom@andromeda.com", "xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e" }

因此，您需要将 csrfToken 存储在 local/sessionStorage以及JWT 内部（存储在仅 http 且安全的 cookie 中）。然后对于 csrf 保护，验证 JWT 中的 csrf 令牌是否与提交的 csrf-token 标头匹配。

无需加密令牌或包含随机数。CSRF 令牌的关键属性是攻击者无法预测它，并且与 cookie 不同，它不会被浏览器添加到每个请求中。存储在隐藏字段中的加密安全JWT满足这两个属性。

请注意，您需要使用其中包含用户唯一数据的 JWT。拥有非特定于用户的空或通用 JWT 不会为您提供安全性。

您可以将 JWT 用作 CSRF 令牌，但这会不必要地复杂：CSRF 令牌不需要包含任何声明，也不需要加密或签名。

对于 JWT 或 CSRF 令牌的用途可能存在误解（起初我也很困惑）。JWT 是一个访问令牌，用于身份验证。另一方面，CSRF 令牌用于保护用户不被欺骗发送伪造的经过身份验证的请求。当使用会话或 HTTP 基本身份验证或将 JWT 存储在 cookie 中时，这是必要的——任何由浏览器自动完成的身份验证。

如果您有这样的身份验证方案，请确保您

• 使用正确的 HTTP 动词（GET 不能有副作用）
• 在每个请求上生成一个新的 CSRF 令牌
• 将 CSRF 令牌包含在标头中或作为每个 PATCH、POST、PUT 和 DELETE 请求的 HTTP 参数

例如，阅读Spring 如何处理 CSRF。

请注意，将 JWT 存储在cookieorlocalStorage中并不是主要问题。将 JWT 存储在 acookie和 中一样好localStorage，只要服务器不在 cookie 标头中查找 JWT。如果您将 JWT 存储在名为的 cookie 中，token但仅在服务器端的Authorization: Bearer ...类型标头中接受它，那么您在 CSRF 中的安全性与存储在 中时一样安全localStorage，因为服务器端将忽略标头token中的发送Cookie。

但是，要使其正常工作，您的 web 应用程序需要以使用 JavaScript 发送所有有效请求的方式构建，您的 JS 从调用的 cookie 中读取令牌token并将其作为Authorization: Bearer ...类型标头附加到传出请求。

所以请注意，这与它的存储位置无关，它更像是在服务器端查找它的位置。