( kroozo | 2024. 05. 30., cs – 22:38 )

Imho kb:

  • secure és http only cookiek
  • Rövid lejáratú tokenek (amiket renew tokenekkel frissítgetnek)
  • Forrás ellenőrzés (kb a másik ipről nem fogadom eltől a browser fingerprintelekig)
  • Szenzitív műveleteknél reauthentikáció/második faktor
  • Horrible dictu lehetne kliens tls authot használni.
  • Illetve hát vmennyire ide tartozik a mindenféle cross site policy