จากสิ่งที่ฉันได้เรียนรู้มาจนถึงจุดประสงค์ของโทเค็นคือเพื่อป้องกันไม่ให้ผู้โจมตีปลอมแปลงการส่งแบบฟอร์ม
ตัวอย่างเช่นหากเว็บไซต์มีแบบฟอร์มที่ใส่รายการเพิ่มลงในตะกร้าสินค้าของคุณและผู้โจมตีสามารถส่งสแปมตะกร้าสินค้าของคุณด้วยรายการที่คุณไม่ต้องการ
เรื่องนี้สมเหตุสมผลเพราะอาจมีอินพุตที่ถูกต้องหลายอย่างสำหรับแบบฟอร์มตะกร้าสินค้าผู้โจมตีทั้งหมดจะต้องทำคือรู้ว่ารายการที่เว็บไซต์ขาย
ฉันเข้าใจว่าโทเค็นทำงานอย่างไรและเพิ่มความปลอดภัยในกรณีนี้เพราะพวกเขามั่นใจว่าผู้ใช้ได้กรอกและกดปุ่ม "ส่ง" ของแบบฟอร์มสำหรับแต่ละรายการที่เพิ่มลงในรถเข็น
อย่างไรก็ตามโทเค็นจะเพิ่มความปลอดภัยให้กับฟอร์มการเข้าสู่ระบบของผู้ใช้ซึ่งต้องใช้ชื่อผู้ใช้และรหัสผ่านหรือไม่
เนื่องจากชื่อผู้ใช้และรหัสผ่านนั้นแตกต่างกันมากผู้โจมตีจึงต้องรู้ทั้งคู่เพื่อให้การปลอมตัวเข้าสู่ระบบทำงานได้ (แม้ว่าคุณจะไม่ได้ติดตั้งโทเค็น) และหากผู้โจมตีรู้แล้วเขาก็สามารถลงชื่อเข้าใช้เว็บไซต์ได้ ตัวเขาเอง. ไม่ต้องพูดถึงการโจมตี CSRF ที่ทำให้ผู้ใช้ลงชื่อเข้าใช้ด้วยตนเองจะไม่มีวัตถุประสงค์ในทางปฏิบัติใด ๆ
ความเข้าใจของฉันเกี่ยวกับการโจมตีและโทเค็น CSRF ถูกต้องหรือไม่ และพวกเขาไม่มีประโยชน์อะไรสำหรับแบบฟอร์มการเข้าสู่ระบบของผู้ใช้ตามที่ฉันสงสัย?