基于无状态 cookie 的身份验证是否足够安全？

Question

我正在使用 nextjs 在一个商业网站上工作，我想确保我的身份验证方法是安全的...

我正在使用基于无状态 cookie 的身份验证...用户数据已加密并在 cookie 中签名，因此我们只需解密 cookie 以查看用户是否已通过身份验证。 cookie 是 httponly、过期、严格相同的站点....

一般流程：

1. 用户点击登录图标：首先，一个 csrf 令牌将从服务器返回（也签名并保存在 cookie 中），然后 csrf 附加到此登录请求正文。在服务器端，服务器使用 cookie 中的令牌验证 csrf 令牌。服务器还会检查密码和用户名...如果正确，一个新的 csrf 令牌将附加到响应和 cookie 中，这个新的 csrf 令牌将保存到 localstorage 以便我们在刷新后可以使用它。

对于以下所有需要身份验证的请求，将验证 csrf 令牌和 cookie 以查看用户是否已通过身份验证。

还有其他安全问题吗？我知道有 next-auth 可用，但我想使用无状态登录和学习