Как AntiForgeryToken работает с точки зрения его использования - понятно.

Меня интересует, на основании чего его генерирует сервер и на основании чего потом проверяет подлинность? Пляшет от сессии, хранит все выданные токены и т.п.?

Итак, получается, что сервер генерит условно говоря случайное число, отдает его в поле формы и одновременно в виде куки, а при постинге формы проверяет совпадение значения куки и скрытого поля (при этом само контрольное значение на сервере никак не хранится)
This is an authorization filter that checks that:
The incoming request has a cookie called __RequestVerificationToken

The incoming request has a Request.Form entry called __RequestVerificationToken

These cookie and Request.Form values match

Но правильно ли я понимаю, что значение токена все время одно и то же, для конкретного экземпляра браузера (то есть дается один раз при первичной установке контрольной куки)?
Ведь в противном случае, будет невозможна одновременная работа нескольких форм на разных закладках.