__RequestVerificationToken이 모든 요청마다 다를 수 있습니까?

Question

Google은했으나 모든 요청에 ​​대해 ASP.NET MVC의 v4 RequestVerificationToken이 달라야하는지 여부를 결정할 수 없었습니까?

단일 서버에서 실행 중일 때도 모든 환경에서이를 확인합니다. 사용자가 로그인되어 있지만 페이지를 새로 고칠 때마다 (F5) 다른 토큰이 매번 생성됩니다.

정상입니까?

Answer 1

이것은 완전히 정상입니다. 사용자가 로그인했는지 여부는 아무런 차이가 없습니다.

참고 것을 : 동기화 토큰 패턴은 비밀 토큰, 및 각 요청에 대한 독특한는 모든 HTML 양식에서 웹 응용 프로그램에서 임베디드 및 서버 측에서 검증 된 기술이다. 토큰은 예측 불가능 성을 보장하는 임의의 방법으로 생성 될 수 있으며, 고유성 (예 : 임의 시드의 해시 체인 사용)을 통해 생성 될 수 있습니다. 따라서 공격자가 자신의 요청에 올바른 토큰을 넣을 수 없습니다.