Estou usando oAntiForgeryToken método auxiliar. Pelo que eu entendo sobre o AntiForgeryToken é que é base de sessão, para que cada usuário tenha o mesmo token, mas outro usuário terá um token diferente (desde que você use os mesmos sais para todos os formulários). Meu "problema" é queAntiForgeryToken está gerando tokens diferentes para o mesmo usuário com o mesmo sal. Por exemplo ...

Contoller

public ActionResult Test()
{
    return View();
}

Visão

@using (Html.BeginForm())
{
    @Html.AntiForgeryToken("Salty!")
}

Pedido de Saída # 1

<input name="__RequestVerificationToken" type="hidden" value="K1sijFuYvyGUJjGg33OnLjJaU3tFpGFDutRt9TOFSkZ6FcrhJMMQPnOqjIHuTwBXs/sPBXEiE+1qyV9l63nnSO161b+OtLbaBoPC7K3/7wxtnuSY+N0o/fqBgVoDyac4dNVp+OvanKBSrHINKfc3WEg9269BHOJNzFowC6Aeac/afAGTGrBypxUHfqrKVowD" />

Pedido de Saída # 2

<input name="__RequestVerificationToken" type="hidden" value="mOpP6LMQXnCmjr5/Wdtnhguh3PyZxWj7GWf8LYzZXPKcJBBT+DbAHvynquSD65O0DBw1RKR7DxCNg372ukftCOWms+o75CraMyFMnvjGk7RU+znIQm05eRQvr5H6d/MDyn+0DWm3jLnMBM9GplsgMRqbdAHzSe69/cS2x9A4X/9jFTZQHUWXXHUr0xewF8Rk" />

As chaves são diferentes para a mesma sessão com o mesmo sal. Eu tenho um mal-entendido fundamental sobre a proteção de CRSF? Ou isso é um novo recurso?