удалось решить эту проблему, добавив запрос request_token. странно, это работает без этого запроса для большинства учетных записей. Однако для создания новых учетных записей мне пришлось явно указать этот параметр в запросе. Однажды этот параметр был установлен, вместо того, чтобы перенаправлять пользователя на xsrfsign .. URL, я получил данные пользователя и маркер запроса.