Полный пример использования токена формы: Безопасное хранение / поиск / использование токена формы Переполнение стека

Я просмотрел / прочитал множество постов на эту тему, получил много информации (у меня кружится голова), но мало твердых (это то, как это делается правильно) ответов.

У меня есть несколько форм на моем веб-сайте, каждый из которых я хотел бы «защитить» с помощью токенов форм.

Мой вопрос заключается в том, что является «достаточно безопасным» решением для создания, хранения и извлечения этих токенов, чтобы я мог быть уверен, что форма может быть доверенной, и что она не может быть использована злоумышленниками? Для такой задачи должна быть какая-то общепринятая структура «наилучшей практики», я просто не могу ее найти; только частичные, не делайте этого, рекомендации, без примеров того, как это сделать правильно.

1. Какой тип алгоритма хеширования / шифрования должен использоваться для создания токена?

2. Должен ли токен храниться как часть сеанса, в файле cookie или в собственной базе данных?

3. Любая другая полезная информация, касающаяся правильного способа защиты форм с помощью токенов?

Я обеспокоен высочайшей безопасностью, так как планирую в конечном итоге использовать фреймворк на сайте продаж.

ТИА

Изменить: Является ли ссылка в комментарии, опубликованном sємsєм, общепринятой практикой «достаточно хорошо»?