Ho un token CSRF nella pagina di accesso, che funziona come previsto. Quindi, quando l'utente ha la pagina di accesso aperta per un lungo periodo (il token è scaduto in background). Quando inseriscono correttamente le credenziali di accesso, comunica loro che l'azione non è valida perché il token è scaduto e le reindirizza nuovamente alla pagina di accesso, dove ora possono essere inserite correttamente.
Penso che il comportamento sia come previsto, perché il token CSRF è diventato obsoleto e un'azione esplicita ha recuperato il token corretto. Gli utenti lo odiano perché devono inserire le informazioni di accesso due volte.
Qualche consiglio? Questo sembra un problema molto comune con CSRF su una pagina di login che rimane lì per molto tempo ..
Grazie e apprezzamento per qualsiasi aiuto.