Как долго должно быть время жизни токена CSRF?
должен ли я иметь короткий срок службы для моего токена CSRF или я могу иметь его последним для длины сеанса?
1 ответов
на CSRF токен не является токеном доступа и не имеет времени жизни, как токены на предъявителя. Они генерируются с использованием информации сеанса.
csrf_token = HMAC(session_token, application_secret)
CSRF добавляет дополнительную информацию к вашим запросам, которая позволяет серверу проверять запросы из авторизованного местоположения.
это влияет только на запросы, где информация авторизации отправляется автоматически браузером (cookie auth или basic/digest scheme)