Я видел похожий вопрос Пример аутентификации Facebook CSRF , и они говорят: «Хэш (или состояние) генерируется вами для каждого запроса к веб-службе (Facebook) и сохраняется в сеансе на вашем сервере.Этот хэш отправляется вместе с запросом в Facebook с вашего веб-сайта. Facebook отправляет тот же самый хэш обратно в качестве параметра ответа ".
Значит ли это, что без состояния на СЕССИИ аутентификация не будет работать?
Несколько месяцев назад я сделал этот тип входа.Вероятно, он может работать и без него, но абсолютно НЕОБХОДИМО использовать этот метод для защиты от CSRF.