标签: security session csrf
我的CSRF令牌的生命周期是否应该短暂,或者我可以在会话期间持续使用吗?
答案 0 :(得分:8)
CSRF令牌不是访问令牌,并且没有像承载令牌那样的生命。它们是使用会话信息生成的。
csrf_token = HMAC(session_token, application_secret)
CSRF会在您的请求中添加其他信息,以便服务器验证请求来自授权位置。
它仅影响浏览器自动发送授权信息的请求(cookie auth或basic / digest scheme)