Насколько я знаю, аутентификация на основе токенов никоим образом не зависит от CSRF. Например. если вы используете файлы cookie, а плохие парни завлекают пользователей на свой сайт, где они могут создать специальную кнопку, которая будет делать сообщение на вашем сайте -> здесь CSRF, где вы можете выполнять некоторые запросы от имени пользователей.
Теперь, если вы используете токены, которые хранятся в сеансе/локальном хранилище, например, они никогда не передаются автоматически с запросом. Вы, вероятно, используете что-то вроде углового перехватчика или аналогичной технологии, чтобы передать его вместе с каждым запросом XHR. Это никогда не происходит автоматически.
Вы можете прочитать немного больше о токене auth в this очень хороший пост. В пункте №6 имеется небольшой раздел о XSRF/CSRF, XSS.
В моем скромном опыте эти большие инструменты безопасности часто говорят вам что-то, что не соответствует действительности, чтобы сделать себя более «значимым». Но было бы интересно точно узнать, как он планирует выполнить CSRF и что именно заставило его думать, что это возможно? Например. у вас может быть куки-файл, который вы пропустили?
P.S. XSS-атака (для кражи жетона) становится более возможной с помощью токенов, поскольку вы можете поместить HTTP-только как файлы cookie. Таким образом, любой успешный XSS сможет прочитать ваш токен, поэтому вам нужно убедиться, что у вас есть хорошая защита от этого. Но он обычно хорошо покрывается каркасами.