AntiForgery.GetTokens: oldCookieToken参数的目的是什么

我们正在用objective-c编写一个iOS移动应用程序，它可以向我们的ASP发送帖子。在iPhone上，HTTP栈(和cookie等)似乎与Safari共享。这使我们容易受到XSRF攻击，所以除非我弄错了，我们需要使用防伪令牌保护post，并使用ValidateAntiForgeryTokenAttribute保护我们的控制器方法。

我要限定这个问题，说我没有正确理解防伪造令牌生成和验证的机制…特别是，在这种情况下使用的术语"nonce"有点神秘。

因为我们没有向客户端交付HTML，所以我们不能使用标准的@Html.AntiForgeryToken()，所以我们必须使用AntiForgery.GetTokens来获取和分发令牌给我们的客户端。它有一个神秘的第一个参数:oldCookieToken。目前，我只是将其设置为null，一切似乎都很好。谁能告诉我…向令牌生成算法提供旧令牌有什么用?如果只给我们的iOS应用颁发一个令牌，并在多个帖子中重复使用，这会有问题吗?