Actualmente estamos desarrollando una aplicación totalmente basada en AJAX que interactuará con el servidor a través de una API RESTful. He considerado posibles esquemas para proteger contra los ataques XSRF contra la API.Protección XSRF en una aplicación de estilo AJAX
autentica de usuario y recibe una cookie sesión, que es también doble presentado con cada solicitud.
Implementamos un consumidor de OAuth en Javascript, recupere un testigo cuando el usuario se conecta, y firmar todas las solicitudes con esa señal.
Me estoy inclinando hacia el enfoque de OAuth, principalmente porque me gustaría ofrecer tercero el acceso a nuestra API y yo prefiero no tener que poner en práctica dos esquemas de autenticación.
¿Hay alguna razón por la que un consumidor de OAuth no funcione en esta situación?