具有外部身份验证的Web API 2发布

Question

我正在混合使用MVC和Web API（在VS 2013 - MVC 5和Web API 2上）

使用带有MVC项目开箱即用的MVC AccountControllers我可以配置外部身份验证并使用facebook和google成功验证用户身份。

我的模型中有一个API控制器，带有读/写方法，我使用[Authorize]属性进行装饰。

当用户使用facebook登录登录我的网站并尝试提交（发布）时，我希望使用angular $ http发布;现在我的问题是

1. 我是否需要添加/插入facebook在认证时提供的某种令牌？
2. 我从哪里获取客户端javaScript上的facebook令牌？
3. 如果这可以在不需要任何toekn且仅基于外部cookie的情况下工作，这对CSRF来说是不是可以成功的？我的意思是如何在不使用Razor时添加AntiForgeryToken（我的意思是平面角度视图中的形式）