Tokens: Zabráníme časovacím útokům (jakkoliv nepravděpodobným)

Closes #219.

mo/tokens.py

@@ -23,7 +23,7 @@ def verify_token(token: str, use: str) -> Optional[List[str]]:
     if len(enc_fields) < 2:
         return None
     sign = enc_fields.pop()
-    if _sign_token(':'.join(enc_fields), use) != sign:
+    if not hmac.compare_digest(_sign_token(':'.join(enc_fields), use), sign):
         return None
     return [urllib.parse.unquote(f) for f in enc_fields]