Клиент передает один токен в теле запроса и второй такой же в заголовке (в куках или отдельным заголовком). Это нужно для защиты от CSRF и XSS.