Per il modello di token crittografato anti-CSRF, la pagina OWASP descrive il token crittografato come composto da tre elementi: l'ID dell'utente, un valore di timestamp e un nonce.
La necessità programmatica per i primi due è ovvia, ma per quanto riguarda il terzo? Qual è l'effettiva necessità del componente di dati casuali?
Ho capito perché nel caso del normale Token Pattern di sincronizzazione.
Ma quale sarebbe il problema per il token pattern crittografato con l'implementazione di un token composto solo da UserId e timestamp, che successivamente sarà soggetto a encrypt-then-mac.
È ritenuto importante rendere il token crittografato più sicuro da crittografia (rendendo il testo in chiaro più lungo e meno prevedibile)?