warum muss das token bei jedem weiteren request erneut validiert werden, wenn es in der session gespeichert ist? die session ist serverseitig. wenn kein risiko eines session-hijacking besteht, sollte das sicher sein.
Ich brauche ja nach wie vor einen Mechanismus, wie ich mir merken kann, ob ein Benutzer "eingeloggt" ist, sprich ein Cookie auf Clientseite. Was speichere ich in diesem Cookie? Das is tmir nicht ganz klar. Würde ich dort das Token speichern, dann müsste ich es ja validieren. Sonst würde ja jeder Angreifer, der dort einfach irgendeinen Wert hinterlegt, automatisch als eingeloggt gelten. So kann das also nicht funktionieren. Aber wie dann?