我知道基于cookie的身份驗證。SSL和HttpOnly標志可以應用于保護來自MITM和XSS的基于cookie的身份驗證。但是，將需要采取更多特殊措施來保護它免受CSRF的侵害。它們只是有點復雜。（參考）最近，我發現JSON Web令牌（JWT）作為身份驗證的解決方案非常熱門。我知道有關編碼，解碼和驗證JWT的知識。但是，我不明白為什么某些網站/教程告訴您使用JWT不需要CSRF保護。我已經閱讀了很多，并嘗試總結以下問題。我只希望有人可以提供JWT的概況，并闡明我對JWT誤解的概念。如果JWT存儲在cookie中，則我認為它與基于cookie的身份驗證相同，只是服務器不需要會話來驗證cookie /令牌。如果不采取特殊措施，CSRF仍有風險。JWT是否存儲在cookie中？如果JWT存儲在localStorage / sessionStorage中，則沒有cookie，因此不需要防御CRSF。問題是如何將JWT發送到服務器。我在這里發現建議使用jQuery通過Ajax請求的HTTP標頭發送JWT。那么，只有ajax請求可以進行身份驗證嗎？此外，我還發現了另一個博客節目，使用“ Authorization header”和“ Bearer”發送JWT。我不了解博客談論的方法。有人可以解釋一下“授權標頭”和“承載者”嗎？這是否會使通過所有請求的HTTP標頭傳輸的JWT？如果是，CSRF怎么樣？