一般的な状況: SPA + REST。Auth0 を使用せずに Web ユーザーを JWT で認証する場合、ログイン時にサーバーから提供された XSRF トークンを Cookie に保存し、JWT とともにリクエスト ヘッダーで送信する必要があります。
関連する公式の Auth0 ガイドhttps://auth0.com/docs/architecture-scenarios/spa-apiでは、XSRF トークンはまったく言及されていません。誰かがユーザーからアクセス トークンを盗んだ場合はどうなりますか? そのユーザーの REST API にアクセスできますか?
Auth0 には別のガイドクロスサイト リクエスト フォージェリの防止 (XSRF または CSRF)がありますが、それは奇妙に簡潔であり、説明した問題がどのように解決されるかわかりません。