entgre otras cosas, lo que metas en $_SESSION[x...] no será visible para el usuario, solo en el servidor.

Puedes verificar que la URL de origen corresponda con la de tu formulario.

Puedes simplemente hacer dos cosas:

Primero generas dos tokens,

El token uno lo sumas al token 2 y aplicas md5 guardando el resultado en una variable de sesion.
El token 2 lo guardas tambien en una variable de sesion.
El token 1 lo envías en un campo oculto al desplegar el formulario.
Recibes el token de vuelta junto con el formulario, unes el token 1 con el token 2, generas el md5 y lo comparas con el que tenias antes y, si empatan, el formulario es el correcto.

De esa manera el usuario jamas conocera el valor de Token2, aunado a que el formulario solo puede venir de tu URL pues.....