Ошибка была из-за того, что в моей рабочей среде для no_script_name установлено значение true, а запрос на вход в систему передавался во внешнее приложение, которое не распознало токен. Я установил поддомен с DirectoryIndex backend.php, установленным в vhost. Задача решена.