Я видел аналогичный вопрос Facebook Authentication Example CSRF, и они говорят: «Хэш (или состояние) генерируется вами для каждого запроса веб-службы (Facebook) и сохраняется в сеансе на вашем сервере. Этот хеш отправляется с запросом на Facebook с вашего сайта. Facebook отправляет тот же самый хеш в качестве параметра ответа. "
Означает ли это, что без участия государства на СЕССИИ auth не будет работать?