Hallo,

Das bloße Anzeigen von Daten (z.B. GET /products/123) erfordert keinen Token, auch nicht das Durchsuchen von Datensätzen (z.B. GET /search?q=schrauben).

Aber wenn der Benutzer keine Leserechte hat?

Ob der angemeldete Benutzer ausreichend Rechte hat, um den angeforderten Inhalt anzusehen, musst du natürlich prüfen, ja. Dazu reicht der Session-Cookie, es bedarf keines weiteren Tokens. Ein zusätzlicher Token, den du vorher im Request-Body zum Client gesendet hast, verbessert die Sicherheit nicht, soweit ich das beurteilen kann. Wenn man das Prinzip des Session-Cookies zweimal anwendet, kommt nicht doppelte Sicherheit heraus.

Das Überprüfen der Zugriffsrechte hat mit CSRF zu tun. Eine fremde Site kann den Browser dazu bringen, einen Request zu deiner Website abzusenden. Wenn der User bei dir authentifiziert ist, wird der gültige Session-Cookie mitgeschickt und deine Serversoftware glaubt, alles sei korrekt. Das ist nur dann gefährlich, wenn der Request Nebeneffekte hat. (Von Denial of Service einmal abgesehen.)

Mathias