Der HTTP-HeaderSec-Private-State-Token existiert sowohl als Anforderungs- als auch als Antwort-Header. Er wird von derPrivate State Token API während Ausstellungs- und Einlösevorgängen verwendet, um Anforderungs- und Antwortdaten zu übertragen.

Während derToken-Ausstellung enthält derSec-Private-State-Token-Anforderungsheader eine Sammlung von nicht signierten, geblendeten Nonces, die erforderlich sind, um ein privates Status-Token an den Ausstellungsserver zu generieren. Eine erfolgreiche Antwort sollte einenSec-Private-State-Token-Antwortheader enthalten, der Blind-Signaturen enthält, die der Browser dann entblendet und zusammen mit den ursprünglichen, nicht geblendeten Nonces in einem sicheren Token-Speicher speichert.

Während derToken-Einlösung enthält derSec-Private-State-Token-Anforderungsheader ein einzelnes signiertes, nicht geblendetes Token zusammen mit zugehörigen Einlösemetadaten. Eine erfolgreiche Antwort sollte einenSec-Private-State-Token-Antwortheader enthalten, der einen signierten Einlösungsdatensatz enthält, der wiederum vom Browser sicher gespeichert wird.

Es ist zu beachten, dass ein Entwickler nicht erwartet wird,Sec-Private-State-Token-Anforderungsheader zu generieren — diese werden automatisch vom Browser erstellt, wenn private Status-Tokentoken-request undtoken-redemption Fetch-Anfragen aufgerufen werden.

Syntax

Sec-Private-State-Token: <string>

Server sollten diesen Header ignorieren, wenn er einen anderen Wert enthält.

Direktiven

<string>

Ein String, der die erforderlichen Daten für Ausstellungs- und Einlösevorgänge von privaten Status-Token-Anfragen und -Antworten enthält.

Beispiele

Beispiel für einen Anforderungsheader, der während der Token-Ausstellung gesendet wird:

Sec-Private-State-Token: AEB9WGWUx398Pdr0SFE7NDo…

Beispiel für einen Antwortheader:

Sec-Private-State-Token: AEB9WGWUxj1085Cuk2qmt3y…

Spezifikationen

Browser-Kompatibilität

Siehe auch

• Sec-Private-State-Token-Crypto-Version
• Sec-Private-State-Token-Lifetime
• Sec-Redemption-Record
• Private State Token API