docs.nestjs.com

github.com

csurf パッケージあたりから調べ始める

csurf 、ログアウト／ログインしてユーザが変わってもトークンがinvalidにならない

認証とまったく連携してない

CSRFトークンってそういうものなのか

csurf のドキュメントのとおり { cookie: true } にしてるせいだった

これだと独自のcookie storeに保存する

sessionに保存するようにすればログアウト時にsession消してるので消える

RailsのCSRF対策まわりのコード読んでみてもそんな感じっぽい（特にcurrent_user_idをトークンに含めて〜とかではなさそう）

github.com