No sono due cose diverse. Il token ti serve per verificare che una richiesta POST venga da una sorgente sicura (cioe' la *tua* pagina in cui il form viene compilato e che genera il token): il semplice fatto che un utente abbia una sessione valida non garantisce che ti invii dati dalla pagina giusta.