CSRF 令牌的生命周期应该有多长?

How long should the lifetime of a CSRF token be?

我的 CSRF 令牌应该有较短的生命周期还是可以在整个会话期间持续使用?

CSRF 令牌不是访问令牌,并且不像不记名令牌那样具有生命周期。它们是使用会话信息生成的。

csrf_token = HMAC(session_token, application_secret)

CSRF 向您的请求添加额外信息,让服务器验证请求来自授权位置。

它只影响浏览器自动发送授权信息的请求(cookie 授权或 basic/digest 方案)