Sichere API

ravenheart_ggg

Ich bin ziemlich neu, was dieses Thema angeht und je mehr ich mich mit Sicherheitsaspekten beschäftige, desto verwirrter werde ich.

Ich möchte eine einfache API haben, bei der einige Routen auch Veränderungen an Datensätzen erlauben (POST).
Zur Authentifizierung dachte ich an den Einsatz von JWT. Nun bin ich auf die Begriffe XSS und CSRF gestoßen.
Soweit ich das jetzt überblicke, sollten JWT recht siucher vor CSRF schptzen, aber ich bin wirklich noch unsicher.

Kann mir jemand die grundlegenden Siucherheitsaspekte mit Quellen aufzählen?

noLust

Eigentlich nimmt man dafür HTTP Basic Auth ... Und wie sicher dann deine Website (oder API) gegenüber verschiedenen Angriffsvektoren ist, lässt sich ganz einfach selber testen: https://pentest-tools.com/

_ro_ro

JWT hat mit Authentication nichts zu tun.

Zum Thema selbst habe ich was geschrieben:
http://rolfrost.de/aubase.html

MFG