OK、私がやろうとしていることは、クロスサイト攻撃のように見えるかもしれません - CSRF トークンの目的そのものを無効にしますが、ここに必要なものがあります: 私は Symfony アプリ サイト (app.timo.in) を持っています。 PHP ホームページ Web アプリ (www.timo.in)。登録済みの訪問者がホームページからログインできるようにしたい。
情報: アプリとホームページは同じドメイン (timo.in) にあります
可能なオプションは、両側が理解できる sharedSecret に基づいて他のトークンを生成することです。トークンの有効期限が早すぎるのは望ましくありません。私が持っている利点の 1 つは、ログイン フォームがモーダルで開くため、有効期限が短い新しいトークンを毎回生成できることです。セキュリティを確保するために他に必要なパラメーターは何ですか? セッション ID を含めた場合、両方のサイトがそれを理解できますか?
ALERT : ある種の CSRF 保護が必要なので、Symfony アプリのログインページで無効にすることを提案しないでください :)