¿Así que estoy leyendo y me confundí mucho sobre tener un token CSRF, por lo que debería generar un token nuevo para cada solicitud, o solo por hora o algo?

<code>$data['token'] = md5(uniqid(rand(), true));
$_SESSION['token'] = $data['token'];
</code>

Pero digamos que es mejor generar un token cada hora, entonces necesitaría dos sesiones: token, expiration,

¿Y cómo procederé a la forma? Simplemente coloque echo $ _SESSION ['token'] en el formulario de valor oculto y luego compare ¿enviar?