CSRF 令牌的生命周期应该有多长?
How long should the lifetime of a CSRF token be?
我的 CSRF 令牌应该有较短的生命周期还是可以在整个会话期间持续使用?
CSRF 令牌不是访问令牌,并且不像不记名令牌那样具有生命周期。它们是使用会话信息生成的。
csrf_token = HMAC(session_token, application_secret)
CSRF 向您的请求添加额外信息,让服务器验证请求来自授权位置。
它只影响浏览器自动发送授权信息的请求(cookie 授权或 basic/digest 方案)
我的 CSRF 令牌应该有较短的生命周期还是可以在整个会话期间持续使用?
CSRF 令牌不是访问令牌,并且不像不记名令牌那样具有生命周期。它们是使用会话信息生成的。
csrf_token = HMAC(session_token, application_secret)
CSRF 向您的请求添加额外信息,让服务器验证请求来自授权位置。
它只影响浏览器自动发送授权信息的请求(cookie 授权或 basic/digest 方案)