warum muss das token bei jedem weiteren request erneut validiert werden, wenn es in der session gespeichert ist? die session ist serverseitig. wenn kein risiko eines session-hijacking besteht, sollte das sicher sein.
Ich brauche ja nach wie vor einen Mechanismus, wie ich mir merken kann, ob ein Benutzer "eingeloggt" ist, sprich ein Cookie auf Clientseite. Was speichere ich in diesem Cookie? Das is tmir nicht ganz klar. Würde ich dort das Token speichern, dann müsste ich es ja validieren. Sonst würde ja jeder Angreifer, der dort einfach irgendeinen Wert hinterlegt, automatisch als eingeloggt gelten. So kann das also nicht funktionieren. Aber wie dann?
Prinzip der minimalen Datenspeicherung
Nur die Sessioon-Id ist als Cookie notwendig, der Client ist damit identifizierbar. Wenn die Session Id gültig ist, weiss der Server auch, ob die Session bereits authentifiziert wurde. Der Server hat ja ausser der Session Id beliebige Sessiondaten. Ein Boolean IsAuthenticated genügt.