Sec-Private-State-Token header

Der HTTP-Header Sec-Private-State-Token existiert sowohl als Anforderungs- als auch als Antwort-Header. Er wird von der Private State Token API während Ausstellungs- und Einlösevorgängen verwendet, um Anforderungs- und Antwortdaten zu übertragen.

Während der Token-Ausstellung enthält der Sec-Private-State-Token-Anforderungsheader eine Sammlung von nicht signierten, geblendeten Nonces, die erforderlich sind, um ein privates Status-Token an den Ausstellungsserver zu generieren. Eine erfolgreiche Antwort sollte einen Sec-Private-State-Token-Antwortheader enthalten, der Blind-Signaturen enthält, die der Browser dann entblendet und zusammen mit den ursprünglichen, nicht geblendeten Nonces in einem sicheren Token-Speicher speichert.

Während der Token-Einlösung enthält der Sec-Private-State-Token-Anforderungsheader ein einzelnes signiertes, nicht geblendetes Token zusammen mit zugehörigen Einlösemetadaten. Eine erfolgreiche Antwort sollte einen Sec-Private-State-Token-Antwortheader enthalten, der einen signierten Einlösungsdatensatz enthält, der wiederum vom Browser sicher gespeichert wird.

Es ist zu beachten, dass ein Entwickler nicht erwartet wird, Sec-Private-State-Token-Anforderungsheader zu generieren — diese werden automatisch vom Browser erstellt, wenn private Status-Token token-request und token-redemption Fetch-Anfragen aufgerufen werden.