Php csrf令牌攻击

我读过关于CSRF和不可预测的同步令牌模式是如何用来防止它的。我不太明白它是如何工作的。 让我们以这个场景为例： 用户使用以下表单登录到站点： 服务器还将令牌存储在会话中。发送请求时，它将表单数据中的令牌与会话中的令牌进行比较。 当黑客可以编写JavaScript代码时，如何防止CSRF： 发送GET请求到站点 接收包含请求表单的html文本。 在html文本中搜索CSRF令牌。 使用该令牌发出恶

我想对几个RESTAPI运行安全扫描。这些API使用OAuth，并使用不同的授权类型分为两组。 我想使用ZAP工具运行安全扫描，我不能自动获得请求使用的OAuth令牌的过程。 我正在使用SoapUI在ZAP中记录API，它工作得非常好。但当令牌过期时，我必须在使用SoapUI或PostMan检索令牌后手动重新记录或编辑令牌。 提供一点点细节步骤的友好请求。 如果需要更多细节，请告诉我。 任何帮助都

我有以下ANTLR 4的语法： 我试图解析以下字符串 代码解析出左侧的ab cd，在我的应用程序中，它将被视为文本字符串。然后，它将解析为一个字符集，在这种情况下，该字符集将转换为任何数字。我的语法对我来说很有用，但我不喜欢将语法作为语法分析器规则（CHAR | DASH），因为它只是被当作一个标记。我希望lexer创建一个字符串，并给我以下标记： 而不是这些 我看了其他的例子，但还没有弄明白。通

我不熟悉，它代表。我混淆了它的两个术语：访问令牌和刷新令牌。 用户注册/登录站点后，我创建和。 将刷新标记保存在数据库或cookie中。 15分钟后，用户标记访问令牌过期。 如果用户空闲2小时，我将从cookie或DB中删除刷新令牌，否则我将使用刷新令牌续订访问令牌。 有什么优化的方法可以达到这个目的吗？

我使用postMan，输入请求地址http://localhost:8011/umrah/oauth/token？client_id=client_2&username=1234567&password=123456&grant_type=password&client_secret=123456，点击send按钮，出现错误，在内存中工作正常，当我想使用Jdbc令牌存储时，想法控制台错误：找不到令

我已经阅读了JWT和访问令牌和刷新令牌。我知道您必须在很短的时间（分钟）内设置访问令牌过期，并在过期时使用刷新令牌获取新的访问令牌。 我不清楚三件事： 谁检查访问令牌是否过期？客户端是否通过发送过期的访问令牌和刷新来检查并请求新的访问代码？ 谁检查刷新令牌是否过期？（显然刷新令牌也需要过期，尽管需要更长的时间才能过期）。 在我看来，如果刷新令牌过期，则必须提示用户重新登录。在某些情况下（移动应用）