rest - 用 HTML5 音频/视频（和纯图像）实现无状态身份验证，有可能吗？

问题描述

我们有一个 REST 风格的 API，并尝试尽可能地遵循 REST 原则，当然这也包括无状态性。

虽然我们后端的大部分确实是无状态的，但有一件事似乎无法实现，那就是处理与 API 无关的静态资源的身份验证。我知道有一些方法可以使用一些基于令牌的方法（例如 JWT）来实现无状态身份验证。但这需要在请求的消息正文中设置一些标头或传输凭据信息。

当只需要保护 API 请求时，这不会有问题，因为我们可以轻松地修改 XHR 或相应地获取请求。

但问题是我们还需要保护静态资源，如图像和音频/视频文件。对于图像，我可以通过 XHR/fetch 加载它们，尽管与使用普通图像标签相比，这已经相当麻烦了。

但是一旦涉及到html5视频/音频，我还没有找到实现这一点的方法，有可能吗？

目前我们只使用安全的 httpOnly cookie，所以在这种情况下，图像或音频都没有问题。使用客户端生成的 cookie（具有类似 JWT 的有效负载）可能是一种解决方案吗？当然，这会引发另一个潜在的安全问题——如果发生 XSS 漏洞——cookie 及其信息可能会被盗，而这对于 httponly cookie 是不可能的。

有什么想法可以实现同样适用于图像和 html5 音频或视频的纯无状态身份验证（而且安全性也不低）？

PS：由于各种原因， HTTP Basic Auth不是一个选项。

标签： restauthenticationhtml5-videostatehtml5-audio