用于 HMAC 签名会话 cookie,建议 ≥32 字节。
所有随机数来自浏览器 crypto.getRandomValues() (CSPRNG),不向任何服务器发送数据;关闭页面后即不可恢复。
crypto.getRandomValues()
生产环境密钥建议直接放到部署平台的环境变量 / 密钥管理服务(如 EdgeOne Pages 环境变量),不要提交到代码仓库。