在我的yii2应用程序中，我使用cookies来存储用户推荐代码。用户知道他们的引用代码是什么，我想知道是否可以派生用于散列字符串的cookie验证密钥。另外，如果cookie验证密钥是已知的，那么潜在的问题是什么？
以下是有关cookies的yii2指南部分的链接，如果它有助于提供更多上下文：http://www.yiiframework.com/doc-2.0/guide-runtime-sessions-cookies.html#cookies

默认情况下，yii2使用sha-256散列这些字符串。真是糟透了。所以这不是安全漏洞。
如果有人有你的cookie验证密钥，他们可以伪造一个cookie。这才是真正的威胁，所以要保证cookie验证密钥的安全。