токен должен быть уникальным для каждой формы, а не для сессии
в Magento одинаковый ключ для всех форм. Пока еще никто не жаловался на это. А вот в Symfony form_key=md5(session_id + строка из конфига + get_class($this)). Кому как нравится.
Ну и понятное дело, что использование голого session_id как form_key - простейший случай. Всегда можно намудрить что-то вокруг этого