Hiện tại, chúng tôi đang phát triển một ứng dụng dựa trên AJAX hoàn toàn tương tác với máy chủ thông qua API RESTful. Tôi đã xem xét các đề án tiềm năng để bảo vệ chống lại các cuộc tấn công XSRF chống lại API.Bảo vệ XSRF trong ứng dụng kiểu AJAX
tài khoản xác thực và nhận một cookie phiên, cũng là đúp nộp với mỗi yêu cầu.
Chúng tôi triển khai người dùng OAuth theo số Javascript, truy xuất mã thông báo khi người dùng đăng nhập và ký tất cả yêu cầu với mã thông báo đó.
Tôi đang hướng tới phương pháp tiếp cận OAuth, chủ yếu là vì tôi muốn cung cấp quyền truy cập của bên thứ ba vào API của chúng tôi và tôi không muốn triển khai hai sơ đồ xác thực.
Có lý do nào khiến người tiêu dùng OAuth không hoạt động trong tình huống này không?