Я написал свою AUTH lib которая вроде норм работает со статическим содержанием. Так - вот должны ли как то отличаться проверки залогинности пользователя при осуществлении AJAX запросов? Ну например отправить сообщение другому пользователю в личку. Т.е. правильно ли в обычном режиме сверять сессию (или если нет сессии то куку) Или для AJAX нужны более хитрые механизнмы авторизации?*
Да. А какая разница между ajax и не ajax с точки зрения сервера? Ну так токен должен быть у всех форм, что они ajax-овые, что обычные
Так - а что имеется вивду под токеном? Т.е. правильно понимаю - что при показе формы пользователю в скрытой форме генерируется случайная строка (и она запоминается и сверяется при отправке пользователем формы) ? Запоминается например в сессии? Или как то более хитро?
Ну например запись в базу (если допустим один пользователей - открыл два окна и с одного аккаунта хочет заполнять две формы одновременно)
И при каждом обновлении страницы на сервере будет запрос к бд что б получить токен. https://php.ru/forum/threads/pravilno-li-ja-napisal-zaschitu-ot-csrf-atak.69330/