読者です 読者をやめる 読者になる 読者になる

LaravelのCSRFトークン

セッション開始時にトークン値がセッションに存在しなければ、新たにトークンを生成してセッションに保存する仕様になっている。 これは、例えばログインしたあと、明示的にトークンの更新を行わない限りはログアウトするかセッションタイムアウトするまでは ずーっと同じトークンを使い続けるという事だ。

一般的なCSRFトークンの実装がどうなのかは良くわからないけど、セッションが有効な間ずっと 同じトークンを使い続けるのは微妙な気もする。いや、トークンが頻繁に変わるのはデメリットも大きいだろうけど・・・