non ho ben capito il metodo dei token... io genero un codice casuale e con cosa lo paragono?
se premo su login ricaricherò la pagina e dovrò rigenerare il numero che difficilmente sarà uguale a quello nell'hidden, quindi dove lo salvo?
e se è uno script ad accedere al form e non un umano perchè il token dovrebbe impedire il login?