改めてちゃんと理解しようと思って、以下のソースを呼んだ。
https://github.com/rails/rails/blob/master/actionpack/lib/action_controller/metal/request_forgery_protection.rb
トークンの発行とか検証のロジック。
https://github.com/rails/rails/blob/master/actionview/lib/action_view/helpers/csrf_helper.rb
metaタグの出力。
意外とシンプル。