Где на сервере хранится CSRF-токен?

Question

[dev123]

Подскажите, когда от клиента на сервер прилетает csrf-токен, то откуда сервер берёт csrf-токен для сравнения с тем, который прилетел от клиента? Он хранится в сессии?

Вообще проблема в следующем. Есть сайт на yii2. На нем такая логика регистрации: пользователь регается, потом подтверждает регистрацию по email и после этого авторизовывается через форму.
И вот если зарегаться (эту страницу после регистрации НЕ закрываем), потом в другом браузере подтвердить регистрацию по ссылке, затем вернуться в браузер, в котором регались и попробовать авторизоваться, то в ответ приходит ошибка 400 - не удалось проверить данные. Понимаю что скорее всего из-за csrf. Но логику до конца не пойму

Comments

[WapSter]

Ну как то не верная логика. Сервер не должен проверять csrf во время авторизации, он должен его давать пользователю.

[dev123]

WapSter, почему не верная? Открываем сайт, на нем уже есть сгенеренный csrf в теге meta и в hidden поле формы авторизации. Человек вводит логин и пароль и они вместе с хешем csrf летят на сервер

[WapSter]

dev123, ну обычно в момент авторизации создаётся csrf и сразу улетает в сессию пользователя. А так кому он вообще его создал?

[dev123]

WapSter, ну вот смотрите, зашел на сайт yii (не залогинен) и он сразу создает csrf

[dev123]

и кстати, отключил проверку csrf для авторизации и всё нормально зароботало. Но отключать csrf это ж как бы не камильфо )

[WapSter]

dev123, тогда храни в сессии гостей и сравнивай уже созданные токены и присваивай его авторизовавшемуся. Но как по мне это довольно геморно.

[Mors Clamor]

Делал также подтверждение по email и никаких подобных проблем не было, полагаю дело в самом механизме верификации пользователя