Sonst kannst Du z.B. mit Zugangsschlüsseln arbeiten, die der Client sich kurz vorher mit dem Request holen muss. Das führt aber zu einem hohen Verwaltungsaufwand, da sowohl alle verbrauchten Schlüssel, als auch alle noch nicht abgelaufenen zur Verbesserung der Fehlererkennung gespeichert werden sollten.

Nein, wieso?

Als Basis arbeitet man dann sowieso mit einer Session.

Die alleine nicht vor CSRF schützt.

Mathias