el token es como una verificacion captcha, se crea cuando se carga el formulario (se inicia una sesion) y se comprueba al hacer un cambio, es para evitar el CSRF, se utiliza sobre todo en tareas de administracion... por ejemplo un script que borre un usuario
dominio1.tld/usuario.php?accion=borrar&id=12345
pues supon que el administrador de dominio1.tld entro a dominio2.tld y habia una "imagen" que apuntaba hacia esa url lo cual haria que, si el admin esta autenticado en su sitio, borrara al usuario con id 12345 porque se genera una peticion y el admin obviamente, habia iniciado sesion
sin embargo si la accion borrar necesitara un token obligatoriamente y que ademas este sea iniciado en una sesion cada cierto tiempo la tecnica anterior no funcionaria porque no puedes poner una sesion aleatoria en la "imagen" si esta es generada por la aplicacion y ademas deben coincidir
jajajaja no soy muy bueno explicando esto pero espero que algo hayas entendido
saludos
pd: recuerdo como en un foro enermano borramos encuestas asi x'D agregando el link para eliminar la encuesta en nuestras firmas y el administrador "veia" nuestras imagenes y sin saberlo borraba cada encuesta x'D