不,你没有。您只需要在使用Web浏览器访问的网页或http apis上进行csrf保护。这是一个混乱的副攻击,副手是浏览器。 https://en.m.wikipedia.org/wiki/Confused_Deputy
如果其他使用浏览器的应用程序使用远程登录URL,则需要csrf保护。
您确实希望正确处理身份验证和授权。请使用适合您的服务器环境的框架。哈希密码并使用tls。