Sec-Private-State-Token header

Der HTTP-Header Sec-Private-State-Token existiert sowohl als Anforderungs- als auch als Antwort-Header. Er wird von der Private State Token API während der Anfragen zur Ausstellung und Einlösung verwendet, um Anfragedaten und Antwortdaten zu übermitteln.

Während der Token-Ausstellung enthält der Sec-Private-State-Token-Anforderungs-Header eine Sammlung von unsignierten, geblindeten Nonces, die erforderlich sind, um ein privates Status-Token an den Ausstellungsserver zu senden. Eine erfolgreiche Antwort sollte einen Sec-Private-State-Token-Antwort-Header mit blindierten Signaturen enthalten, die der Browser dann entblindet und zusammen mit den ursprünglichen ungebundenen Nonces in einem sicheren Token-Speicher speichert.

Während der Token-Einlösung enthält der Sec-Private-State-Token-Anforderungs-Header ein einzelnes signiertes, ungebundenes Token zusammen mit zugehörigen Einlösemethoden. Eine erfolgreiche Antwort sollte einen Sec-Private-State-Token-Antwort-Header mit einem signierten Einlösungsrecords enthalten, der erneut sicher vom Browser gespeichert wird.

Es ist wichtig zu beachten, dass ein Entwickler nicht erwarten würde, Sec-Private-State-Token-Anforderungs-Header zu generieren — diese werden automatisch vom Browser erstellt, wenn private Status-Token token-request- und token-redemption-Fetch-Anfragen aufgerufen werden.