Auth.js session token Mantiene la sessione autenticata e consente accesso alle aree protette. | next-auth.session-token, __Secure-next-auth.session-token | ConfigMon / Auth.js (NextAuth) Autenticazione e sessione | Cookie | Prima parte | Esecuzione del servizio richiesto | Fino a 30 giorni secondo default Auth.js con rinnovo su utilizzo, salvo logout o diversa configurazione. | Sempre attivo quando l'utente accede Cookie tecnico necessario generato da Auth.js con strategia sessione JWT per login, protezione route e persistenza sessione. |
Auth.js CSRF token Protegge i form e il flusso di autenticazione da richieste cross-site non autorizzate. | next-auth.csrf-token, __Host-next-auth.csrf-token | ConfigMon / Auth.js (NextAuth) Sicurezza accessi | Cookie | Prima parte | Legittimo interesse | Sessione o breve durata tecnica necessaria al completamento del flusso di autenticazione. | Sempre attivo durante autenticazione Cookie tecnico di sicurezza usato dal provider credenziali e dalle route Auth.js. |
Auth.js callback URL Ricorda l'URL di rientro da usare al termine del flusso di login. | next-auth.callback-url, __Secure-next-auth.callback-url | ConfigMon / Auth.js (NextAuth) Navigazione autenticata | Cookie | Prima parte | Esecuzione del servizio richiesto | Durata tecnica limitata alla navigazione o al completamento del flusso di accesso. | Attivo solo se il flusso auth richiede redirect Compare solo nei percorsi di autenticazione o redirect gestiti da Auth.js. |
Identificativo visitatore community (anti-doppio-conteggio) Cookie tecnico httpOnly utilizzato per evitare il conteggio multiplo delle visualizzazioni delle build pubbliche della community da parte dello stesso visitatore. | configmon_vid | ConfigMon Community / metriche di visualizzazione | Cookie | Prima parte | Legittimo interesse | 12 mesi dalla generazione, rinnovati a ogni nuova visita di una build pubblica. | Attivo solo alla prima apertura di una build community L'identificatore è un UUID casuale non collegato a un account, viene impostato lato server con flag httpOnly e SameSite=Lax e non viene letto da JavaScript di terze parti. |