ドキュメントには、Facebook サーバー側ログインを実装する場合、サーバーが状態文字列を提供する必要があると記載されており、Facebook はコールバック中にそれを返します。次に、CSRF 攻撃を防ぐために、文字列が一致するかどうかを確認できます。
Rails には 1 つのセッションで変更されない CSRF トークンが既にあるため、Facebook やサードパーティの認証プロセスでそれを再利用することはセキュリティ上のリスクになりますか?
サードパーティにはユーザーの Cookie がないため、トークンは役に立たないので、大丈夫だと思います。