在閱讀CSRF Token的生成的時候����。
token由三部分組成:a).msg b). separator c).signature。
a). msg部分:而msg本身也有兩部分組成:一部分���,隨機字符的主體�����,另一部分是過期時間戳�����。
b). 分隔符號:用符號分隔msg部分����,和加密后生成的signature簽名部分��,這里用的是”.“
c). 簽名signature�����。
token的組成是:
| msg | separator | signature |
------------------------------------------------
| key | timestamp | . | Base64(sha256(msg)) |
這里msg = key + timestamp���。關鍵他說后面的token的驗證是:
是對上面提到的msg����,按照msg中提到的msg的信息部分��,按照特定的秘鎖進行加密���。
token = base64(msg)格式化..base64(sha256("秘鎖", msg))
他的意思也就是:
base64(sha256("秘鎖", key)
那么�,這里我有一個問題就是��,這個"秘鎖"是服務端存放在哪里的呢��?我們具體在哪里查看到呢����?
