Сессия работает только для вашего сервера.Вы можете использовать переменную $ _SESSION просто для хранения данных на вашем сервере.Но, когда вы выполняете аутентификацию с помощью facebook, они не могут установить какую-либо переменную в переменной $ _SESSION вашего сервера, поэтому они используют куки для хранения данных в браузере, откуда ваш скрипт может их выбрать.